Ungebetenen Besuch!!!

Vielleicht hatte da Jemand Zugriff über FTP?

 

Ein Plugin mit Lücken reicht auch.

 

nunja, das kann man erst dann sicher bestätigen, wenn man weiss, wie der webspace aufgeteilt ist... ob wp z.b. über eine subdomain oder nur über ein subdirectory angesprochen wird. im falle der subdomain verfügt wp somit eventuell über eine "eigene" root, was jedoch vom server bzw. dessen konfiguration abhängig ist. dies kannst du aber ggf. auch bei deinem hoster erfragen. bei einer eigenen root könnte es sich schon schwieriger gestalten an die verzeichnissangaben der übrigen webspace-bereiche zu kommen. wird nur über ein subdirectory gearbeitet, dürfte dies weniger problematisch sein - in bezug darauf an die entsprechenden verzeichnisse heran zu kommen. es sollte dann durchaus möglich sein, das ein fehlerhaftes plugin (oder auch eine (noch) unbekannte lücke in wp) für die zugriffe bzw. die überschriebenen dateien gesorgt hat.

vG

Arno

 

Hier hatte auch jemand ungebetenen Besuch unter 2.5. Cati hat auch die Vorgehensweise beschrieben wie der Hack bei ihr verlaufen ist.

WordPress-Hack, alle Versionen bis 2.5 betroffen« IT (Technik und Internet)

 

Heute hat es einen unserer Server erwischt. Ähnlich wie bei LonesomWolf wurden sehr viele Dateien überschrieben. Um genau zu sein: alle *index.php, *header.php, *footer.php, *.htm und *.html Dateien. Jeder dieser Dateien wurden zwei (2) iframes angehängt:

HTML:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

(http durch hXXp getauscht)

Durchgeführt wurde dies mithilfe eines perl scripts namens iframer.pl welche folgenden code enthält:

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Die Logfiles werden zur Zeit noch ausgewertet. Daher ist momentan noch unklar auf welche Weise diese iframer.pl auf den Server gelangt ist und wie sie ausgeführt wurde. Fest steht, dass der Angriff unmittelbar (innerhalb von ca.10 min und zeitgleich mit Listung in Google-Blog-Suche) nach einem neuen Blogpost per WordPress 2.5.1 erfolgte. Ob dies aber nur Zufall war oder ob tatsächlich ein Zusammenhang besteht ist derzeit ebenfalls noch unklar.

@LonesomWolf: bei welchem Provider liegt Dein Blog? Hast Du möglicherweise auch eine iframer.pl oder ähnliches auf den server gelegt bekommen?

 

Scheint nicht auf Wordpress beschränkt zu sein. Hier hat jemand das Problem bei Joomla:
[Problème] - Code maveillant injection d'une iframe 124.217... dans plusieurs fichiers... - Forums Joomlafacile

 

Einer der betroffenen Hoster scheint all-inkl.com zu sein (laut Denic).
Kann jemand bestätigen, das es dort mehrere Blogs "erwischt" hat ?

Ein Kompromittierung eines Massenhosters (auf einem Server laufen ca. 500++ Domains) würde es erlauben, beliebigen Domains dort was unterzuschieben.

Das würde auch erklären, warum es auch Joomla erwischen kann, wie im vorherigen Post in Frankreich gefunden wurde.

 

Nach einer ersten Auswertung kamen die Angreifer bei uns über eine alte (vergessene) phpbb Installation ins Haus. Durchgeführt wurde der Angriff mit einem User-Agent libwww-perl, der bisher noch nicht auf unserer globalen deny list stand. Es wurde dabei eine (bekannte) Sicherheitslücke im alten phpbb ausgenutzt, die es dem Angreifer erlaubt hat eine eigene PHP-Datei von einem fremden Server nachzuladen. Dieses nachgeladene PHP-Script hat dann die im letzten Posting beschriebene iframer.pl auf den Server gelegt und diese ausgeführt.

Der Fehler lag also letztlich auf unserer Seite, da das alte Forum nicht gepatcht wurde.

Diesmal sind wir verhältnismäßig glimpflich davon gekommen, aber dies sollte nicht nur für uns eine Lehre gewesen sein: Immer alles updaten!!!

 

Siehe News bei Heise:
heise online - Erneuter Massenhack von Webseiten