1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Exploit für Semmelstatz?

Dieses Thema im Forum "Plugins und Widgets" wurde erstellt von TomsDiner, 14. Januar 2007.

  1. TomsDiner

    TomsDiner Member

    Registriert seit:
    20. September 2006
    Beiträge:
    20
    Zustimmungen:
    0
    Kennt sich hier jemand mit Exploits und ähnlichem gut aus?

    Ich habe grade eben folgendes aus meinen Server-Logs gezogen:
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Insgesamt waren es so um die 50 Zugriffe. Den kompletten Auszug habe ich unter http://neun12.de/media/log.txt gespeichert.
    Da ich zu dem Zeitpunkt noch kein Semmelstatz installiert hatte, dürften die alle irgendwo im Nirvana gelandet sein. Allerdings ist auf der Seite die da im Log auftaucht (heidii.by.ru) eine Menge merkwürdiges Zeugs was mir nicht so ganz koscha erscheint.

    Falls sich also jemand mit so Sachen etwas besser auskennt, wäre ich um Aufklärung und für Hinweise dankbar.
     
  2. leviathan

    leviathan Gast

    Bei mir kommt statt deiner Textdatei:

    Forbidden
    You don't have permission to access /media/log.txt on this server.

    Bei http://neun12.de/ genau die gleiche Fehlermeldung.
     
  3. TomsDiner

    TomsDiner Member

    Registriert seit:
    20. September 2006
    Beiträge:
    20
    Zustimmungen:
    0
    Ups

    Kann daran liegen das ich grade an der .htaccess bastel um Zugriffe von Außen ein wenig zu regulieren. Ich habe nämlich noch wesentlich mehr Versuche in den Logfiles entdeckt.

    Hier mal der komplette Auszug:
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
     
  4. mastermind

    mastermind Well-Known Member

    Registriert seit:
    13. Dezember 2005
    Beiträge:
    2.076
    Zustimmungen:
    0
    Das sieht definitiv nicht gut aus. Bitte wende Dich an den Autor des Plugins und weise ihn auf das Problem hin.
    Temporär könnte es Dir helfen, den User-Agent libwww-perl zu blocken:

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    vgl. http://www.besthostratings.com/articles/block-bad-bots.html

    Das ist natürlich keine permanente Lösung, da man den User-Agent nach belieben fälschen kann.
     
    #4 mastermind, 14. Januar 2007
    Zuletzt bearbeitet: 14. Januar 2007
  5. TomsDiner

    TomsDiner Member

    Registriert seit:
    20. September 2006
    Beiträge:
    20
    Zustimmungen:
    0
    Mastermind, habe ich beides schon gemacht. Also mich an den Autor gewendet und den User-Agenten geblockt.

    Zusätzlich habe ich noch eine .htaccess im Ordner wp-admin erstellt die den Zugriff auf die Dateien dort beschränken soll:
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Damit sollten eigentlich alle Zugriffe auf PHP- und HTML-Dateien im wp-admin Odner verboten sein, wenn sie denn nicht von der eigenen Domain kommen. Ich hoffe doch mal das es so funktioniert.

    PS:
    Hier gibt es aber auch ein paar merkwürdige Gesellen. Schickt mir doch jemand einen PHP-Codeschnipsel per PN ohne jeglichen Hinweis wo ich den einbauen soll oder einen anderen Kommentar. Na danke, dass ist ja hilfreich :?
    Weiß jemand was damit anzufangen:
    PHP:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    PPS:
    Habe grade Antwort vom Autor des Plugins bekommen. Er ist auch nicht der Experte in Sachen Exploits oder ähnlichem. Meinte aber das es bei keiner Version von Semmelstatz je eine Datei namens admin.php gegeben hätte. Von daher scheint es eher so, als wenn jemand zufällig genau diese URL bombadiert hätte.

    Ich werde die Sache auch noch mal mit meinem Hoster klären. Vielleicht kann der mehr dazu sagen.
     
    #5 TomsDiner, 14. Januar 2007
    Zuletzt bearbeitet: 14. Januar 2007
  6. missi

    missi Well-Known Member

    Registriert seit:
    1. Februar 2005
    Beiträge:
    181
    Zustimmungen:
    0
    Die url ist nach wp-admin/admin.php?page=semmelstatz2.php aufgebaut. Von daher seh ichs nicht wirklich als Zufall. ;)
     
    #6 missi, 21. Januar 2007
    Zuletzt bearbeitet: 21. Januar 2007
  7. Mr-tot

    Mr-tot New Member

    Registriert seit:
    23. Januar 2007
    Beiträge:
    1
    Zustimmungen:
    0
    Hallo erstmal an alle


    Hast du dir schonmal die txt datei anschaut?

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    jetzt wäre natürlich interessant, was in der v9.txt stand, leider bekomm ich ein 403 dort.

    edit: sry hab übersehen, dass du geschrieben hast, das du semmelstatz nicht installiert hattest ;)

    edit, falls es doch jemanden so geht:
    Aber ich würde dir empfehlen dein server zu untersuchen und zu checken was da so passiert ist... (evtl hilft dir chkrootkit) Dein Apache läuft als www-data oder? kannst du checken was der user alles verzapft hat?




    gruß

    Ice
     
    #7 Mr-tot, 23. Januar 2007
    Zuletzt bearbeitet: 23. Januar 2007
  8. Metty

    Metty Well-Known Member

    Registriert seit:
    25. Januar 2006
    Beiträge:
    118
    Zustimmungen:
    0
    Was sagt denn redunzl dazu?
    Klingt ja wirklich nicht gesund.
    Ich meine mich zuerinnern das es ne Lücke im alten Semmelstatz gab, welche aber in der aktuellen Version gefixt wurde.
    K.A. ob das passt
     
  9. MaD

    MaD Well-Known Member
    Ehrenmitglied

    Registriert seit:
    28. Januar 2006
    Beiträge:
    3.097
    Zustimmungen:
    0
    also ich könnte euch die v9.txt zukommen lassen ... bei Interesse PN mit Mailaddy an mich ...

    es ist ein irc bot mit flood funktion ... der logt sich also in einen irc raum ein und scheint befehle von dort zu bekommen
     
  10. Braindead

    Braindead Member

    Registriert seit:
    23. Januar 2007
    Beiträge:
    7
    Zustimmungen:
    0
    Ist ja ein netter Bot den die Type da einsetzt ;)

    Aber wie dem auch sei: Wenn's ein eigener Server ist: mal über den Einsatz von mod_security ( http://www.modsecurity.org ) nachdenken. Außerdem: den Webserver chrooten, safe-mode, open_basedir ( http://de3.php.net/features.safe-mode ) usw. usf.

    Wenn's Shared-Hosting ist: Tritt Deinem ISP auf die Füße. Wenn er es nicht macht oder kann (soll's ja immer noch geben ...), wechsel den Anbieter oder lege tägliche Sicherungen an, befreie Dich von der Traffic-Klausel und Geschichten mit Schadensersatz Dritten gegenüber in Deinem Vertrag, da Du ansonsten auf einem ziemlichen Pulverfass sitzt und es teuer werden könnte ;)
     
  11. Metty

    Metty Well-Known Member

    Registriert seit:
    25. Januar 2006
    Beiträge:
    118
    Zustimmungen:
    0
    Jetzt mal unabhänig dessen was man dagegen machen kann um sich abzusichern, bzw den Server etc...
    Wie schätzt ihr das ein? Semmelstatz erstmal deaktivieren/löschen bis Redunzel sich dazu geäussert hat?
     
  12. Braindead

    Braindead Member

    Registriert seit:
    23. Januar 2007
    Beiträge:
    7
    Zustimmungen:
    0
    IRC-Bots werden gerne zur Steuerung von Trojanern bzw. von Bot-Netzen, dem Durchführen von DDos-Attacken und dergleichen verwendet.

    Die Dinger sind also gefährlich für die Netzsicherheit, insbesondere dann, wenn sie sich auf einem dedizierten Server mit genügend Bandbreite befinden.

    Unsauberer Code stellt immer eine Sicherheitslücke dar, die man zwar mit geeigneten Maßnahmen (wie erwähnt) etwas glattbügeln, aber auch dann nicht vollständig ausschließen kann.

    Das Plugin scheint entweder irgendwann mal, oder aktuell, eine Lücke (gehabt) zu haben, die solche Sachen ausnutzt.

    Wenn der Ersteller des Plugin nicht in der Lage ist die Lücke zu erkennen bzw. zu beseitigen und sich nicht dazu äußert -> raus damit!

    Und bis er sich äußert: temporär deaktivieren und den Zugriff auf die dazugehörigen Dateien sperren (sofern es die eingesetzte Version betrifft (Stichwort: Kommunikation)), alles andere ist russisches Roulette mir einer Automatik.

    Justmy2cent ...
     
  13. TomsDiner

    TomsDiner Member

    Registriert seit:
    20. September 2006
    Beiträge:
    20
    Zustimmungen:
    0
    Mal kurz zusammenfassen

    Es ist Webspace, Neudeutsch Shared Hosting.
    Mein Hoster hat auf Anfrage bombenschnell und kompetent reagiert. Die Idee mit dem Zugriff per .htaccess zu verhindern war schon richtig. Allerdings sieht das ganze nun eine wenig anders aus:
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Alle Anfragen die ein http in der Anfrage enthalten, werden abgelehnt. Ich habe noch eine zusätzliche Zeile eingefügt, da ich auch Downloadcounter verwende die ein http mit verschicken.
    Ansonsten dürften die 2-4 Zeilen htaccess-Code auch für andere interessant sein.

    Ansonsten war diese Art des Angriffs wohl schon bekannt. Die Hacker versuchen dabei verschiedenen Code (PHP, Perl, Asp, und was es sonst noch gibt) auszuführen indem die Seite nachgeladen wird.
    Mir wurde es so erklärt: Manche Scripts laden, wenn sie ausgeführt werden, Webseiten nach und versuchen den darin enthaltenen Code auszuführen. Das funktioniert in etwa so wie die Vorschaufunktion in WordPress.
    Ist das Script schlecht geschrieben, wird auch fremder Code von anderen Webseiten ausgeführt.
    Der htaccess-Code oben kann also für alle diejenigen interessant sein, die noch andere Scripte außer WordPress (z.B. Counter, Downloadscripte, usw) installiert haben. Aber auch ein fehlerhaft geschriebenes Plugin kann eine Sicherheitslücke darstellen.
     
  14. mastermind

    mastermind Well-Known Member

    Registriert seit:
    13. Dezember 2005
    Beiträge:
    2.076
    Zustimmungen:
    0
    Jep, dem kann man nur zustimmen.
     
  15. TomsDiner

    TomsDiner Member

    Registriert seit:
    20. September 2006
    Beiträge:
    20
    Zustimmungen:
    0
    vs.

    Wie sagten wir früher in Foren immer? Thread lesen hilft. Oder: Wer Lesen kann ist klar im Vorteil.

    Es gab nicht mal eine admin.php in Semmelstatz. In keiner der Versionen.
     
  16. mastermind

    mastermind Well-Known Member

    Registriert seit:
    13. Dezember 2005
    Beiträge:
    2.076
    Zustimmungen:
    0
    Wo wir gerade beim Thema "Lesen" sind: Lies doch bitte nochmal den Beitrag von missi weiter oben in diesem Thread.

    Es gibt vielleicht keine admin.php im Semmelstatz-Plugin. Aber es gibt eine admin.php bei WordPress, über die u.U. andere Plugin-Dateien eingebunden werden.
     
  17. TomsDiner

    TomsDiner Member

    Registriert seit:
    20. September 2006
    Beiträge:
    20
    Zustimmungen:
    0
    Vielleicht erstmal schauen auf welche Textstelle ich mich in meinem letzten Zitat beziehe?
    Rummeckern man solle das Plugin raus werfen wenn der Autor nicht antwortet oder nicht in der Lage sei was zu tun, obwohl der Autor bereits geantwortet hat, ist schon ein wenig arg suboptimaler Mist.


    Und es nützt nichts das die admin.php im wp-admin Ordner aufgerufen wird, wenn diese eine Datei laden soll die es nicht gibt. Das ganze würde nur dann funktionieren, wenn es im Ordner semmelstatz auch tatsächlich eine admin.php geben würde.

    [Denken. Lenken. Posten.]
     
  18. mastermind

    mastermind Well-Known Member

    Registriert seit:
    13. Dezember 2005
    Beiträge:
    2.076
    Zustimmungen:
    0
    *Mgrmpf*

    Das ist mir schon klar. Aber es ist vielleicht möglich, dass es mal eine Semmelstatz-Version gab, bei der es eine semmelstatz2/admin.php gab? Ich kann es leider nicht nachprüfen, da es anscheinend keine älteren Versionen zum Download gibt.
     
  19. Braindead

    Braindead Member

    Registriert seit:
    23. Januar 2007
    Beiträge:
    7
    Zustimmungen:
    0
    TomsDiner,

    ich will nicht behaupten das meine Sichtweise unfehlbar wäre und da ich erwachsen bin, kann ich auch ggf. begangene Fehler zugeben.
    So auch hier, wenngleich ähnlich einschränkend wie mastermind: In der aktuellen Version vom Plugin gibt es eine solche admin.php nicht.

    Letztendlich bleibt jedoch das "Aber" nicht aus, denn: an der allgemeinen Feststellung - und so sollte der Beitrag verstanden werden ! - bzgl. Plugins / unsauberer Code u.dgl. mehr ändert sich dadurch nichts, ungeachtet ob explizit das Stück "semmelstatz"-Code betroffen ist oder nicht.

    Das nächste Mal werde ich jedoch, um Mißverständnissen dieser Art vorzubeugen, ein "Grundsätzlich:" davor setzen. ;)
     
  20. TomsDiner

    TomsDiner Member

    Registriert seit:
    20. September 2006
    Beiträge:
    20
    Zustimmungen:
    0
    "Meinte aber das es bei keiner Version von Semmelstatz je eine Datei namens admin.php gegeben hätte." (5. Post in diesem Thread)

    Ist das irgendwie rückwärts Polnisch oder auf anderen Weg nicht richtig verständlich? Ich frag nur. Weil bis jetzt alle behaupten sie könnten lesen und sie hätten es auch getan.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden