WordPress Hacks, Cracks, Security (1)

VonHelmi

In den letzten Tagen wird ja wieder einmal viel über die Sicherheit bzw. Unsicherheit von WordPress gesprochen. In erster Linie wird WordPress beschimpft wie schlecht und unsicher es doch ist. Das ist teilweise sogar unbestritten, ich will jedoch nicht weiter darauf eingehen. Wie so oft fehlt es bisher an praktischen Lösungsansätzen. Gar nicht mal so sehr wenn’s darum geht das eigene Blog abzusichern – dafür finden sich genügend Tipps – eher aber wenn’s darum geht nach Eindringlingen zu suchen und zu prüfen ob man selbst betroffen ist.

Ich schaue mir das Thema für eigene Blogs und die von einigen Kunden gerade genauer an um zu sehen ob sie befallen sind und um sie vor zukünftigem Befall möglichst gut zu schützen. Einige dieser Erkenntnisse will ich versuchen im Blog festzuhalten.

Stark betroffen vom „wp-content/1“-Hack sind wohl immer noch einige unter WordPress 2.3.2 laufende oder zumindest noch nicht nachträgliche bereinigte Blogs. Ob man selbst betroffen ist kann man durch anhängen von „site: meine-domain.de“ an diese Google-Suche herausfinden. Eine Suchanfrage könnte also z.B. lauten „site:helmschrott.de inurl:wp-content/1“. Leider lässt sich bei Google der abschließende Schrägstrich in der URL nicht in den Filter aufnehmen, sodass dort auch harmlose URLs auftauchen wie …/wp-content/1-hase.jpg. Wenn jedoch im Verzeichnis wp-content/1/ eine Datei namens „poker-video.html“ oder ähnlich liegt, kann davon ausgegangen werden, dass der Blog betroffen ist oder war. Es reicht natürlich auch ein Blick auf den Server in’s entsprechende Verzeichnis. Mit der „Google-Methode“ lassen sicher aber mehrere Blogs auf die schnelle prüfen. Mit diesem Hack wurde offenbar eine Lücke in WP 2.3.2. ausgenutzt um ein Verzeichnis Namens „1“ innerhalb /wp-content/ anzulegen und darin diverse html-Seiten zu speichern und damit einfaches Java-Script-Cloaking zu betreiben. Das heisst sie zeigen den Suchmaschinen themenrelevanten Spaminhalt (Poker, Casino, Viagra, etc. – das übliche) und leiten den Besucher direkt auf die Zielseite (Casino-Partnerprogramm oder ähnliches) weiter.

Leider konnte ich noch nicht viele handfeste Infos zu diesem Thema finden. Betroffene sollten auf jeden Fall dringend ihr Admin-Passwort ändern, das Verzeichnis löschen und auf die aktuellste Version von WordPress (zum Zeitpunkt der Erstellung dieses Beitrags ist das 2.3.3) aktualisieren. Weiterhin kann es sein, dass Google die eigene Seite als gefährlich einstuft und bei einem Zugriff über Google (einfach dort nach der eigenen Domain suchen und anklicken) einen entsprechenden Warnhinweis ausgibt. Sollte dies der Fall sein, kann über das Google Webmaster Center entsprechender Antrag auf Änderung gestellt werden (Antrag auf erneute Überprüfung).

Bzgl. aktueller Hacks die auch die aktuellsten Versionen betreffen, konnte ich leider auch noch nicht allzu viel herausfinden. Es gibt wohl einige die einfache Links, die anschließend per CSS versteckt werden an Beiträge anhängen. Die bisher entdeckten Beispiele deuten alle auf einen identischen Eingangstag hin: „<font style=’position: absolute;overflow: hidden;height: 0;width: 0′>“. Wenn’s so wäre könnte man damit leicht eine Datenbanksuche veranstalten um eventuellen Befall des Blogs auszumachen. Sämtliche von mir überwachten Blogs sind demnach nicht befallen. Es gibt aber noch einiges mehr. Im WordPress-Forum war von diversen Javascript-Schnipseln zu lesen, die zwar bzgl. Google keine Gefahr darstellen, aber dafür vermutlich Besucher umleiten oder großflächig mit Werbung beschießen.

Update: Das mit den Javascript-Schnipseln entstammt wohl den Cloaking-Seiten aus dem oben genannten Hack. Habe ich wohl beim ersten mal überfliegen übersehen. Somit sind beschränken sich die mir bekannten Hacks auf in Beiträge injezierte und per CSS versteckte Links bzw. auf veränderte Templatedateien (das jedoch bisher ausschließlich durch Serverlücken und wohl auch manuell.

Ich werde mich mal weiter dran machen da was rauszufinden und halte Euch auf dem laufenden, wenn’s was neues gibt. Für sachdienliche Hinweise über die Kommentare, per Email oder auch Jabber bin ich natürlich jederzeit dankbar.

Für die Absicherung des eigenen Blogs sei die Lektüre und teilweise weiterführende Links der oben verlinkten Blogs empfohlen. Jedoch ohne Gewähr bzgl. Funktion und etwaige Fehler

Ähnliche Beiträge

  • Kommentare in UGC-Communities

    VonHelmi

    Seit einiger Zeit sitze ich nun an der Entwicklung einer Community bei der UGC (user generated content) eine große Rolle spielen wird. Die Inhalte der Benutzer werden auch entsprechend kommentierbar sein. Da stellt sich zwangsläufig die Frage ob die Kommentare „offen“ (auch für Gäste benutzbar) oder „geschlossen“ (nur für registrierte Benutzer) sein sollten.

  • Tauschbörsen doch legal?

    VonHelmi

    Einmal mehr ein Urteil zum Thema Tauschbörsen. Diesmal vom Amtsgericht Offenburg. Die Staatsanwaltschaft hatte beantragt einen Interprovider zur Herausgabe von Nutzerdaten zu zwingen. Der Nutzer war zuvor von einer „beauftragten Firma“ ausspioniert und beim tauschen von Musikdateien „erwischt“ worden.

  • Argumente gegen ein Blog

    VonHelmi

    Ich bin keiner, der krampfhaft versucht andere vom bloggen zu überzeugen, es gibt jedoch Situationen in denen ich es einfach für Überfällig halte. Immer wieder höre ich dann Argumente wie „was soll ich da denn schreiben?“, „Da fällt mir doch nicht täglich was ein“, „Das interessiert doch keinen“.

  • LinkedIn – wer will, wer mag?

    VonHelmi

    wie im vorhergehenden Posting angekündigt habe ich die Möglichkeit ein paar Menschen zu LinkedIn einzuladen. Im Vergleich zur normalen Anmeldung erhält der Eingeladene eine ganzjährige PersonalPlus Premiummitgliedschaft (Wert ca. 200$) und eine gratis Stellenanzeige geschenkt. LinkedIn ist das auf internationaler Ebene was Xing/OpenBC in deutschland ist und international werden will. Wer will kommentiert hier oder…

  • Mein privates Weblog

    VonHelmi

    Nachdem ich mich nun einige Zeit passiv bzw. nur indirekt mit Weblogs beschäftigt habe, wird’s nun endlich Zeit selber ordentlich zu bloggen. Hier ist also mein erstes, eigenes, privates, persönliches Weblog. Ohne konkreten Plan – einfach nur bloggen. Ich wünsche mir selbst schon mal viel Spaß ;)

  • Google Maps für Routenplanung brauchbar?

    VonHelmi

    In stark frequentierten Regionen ist Google bzw. seine Datenpartner richtig schnell mit der Aktualisierung der Satellitenbilder und Straßeninformationen. Die diversen Umbauarbeiten (hier neuer Holdingpoint Rwy 08L) am Münchner Flughafen zum Beispiel sind teilweise bereits nach wenigen Monaten zu sehen. Die Auflösung dort ist ebenfalls gigantisch.

    Google Maps veraltet

    Im Gegensatz dazu sind in manchen Fällen die ich kenne nicht nur die Satellitenbilder sondern auch die entsprechenden Straßendaten bereits knapp 10 Jahre alt und wurden seit dem Start von Maps vor einigen Jahren nicht mehr aktualisiert. Ein gutes Beispiel findet sich hier rund um meine frühere Wohnung. Dort fehlt ein komplettes Neubaugebiet inklusive der Straßen zwischen den Häusern, einer Umgehungsstraße, etc. Immerhin kennt Google bereits den Kreisverkehr am Ortseingang. Microsoft ist hier mit den live.com maps deutlich weiter.

    Windows Live Maps Gunzenlee

    Hier kennt man immerhin schon die Straßeninformationen – eine evtl. Routenplanung würde hier also deutlich treffsicherer bzw. überhaupt erstmal funktionieren. Leider finde ich keine Möglichkeit direkt zum Kartenausschnitt zu verlinken. Warum wundert mich das nur nicht? ;-)

    Ich bin mir sicher, dass das nur eines von vielen Beispielen für die mangelnde Aktualität der Google-Karten ist – sicher auch ein relativ unwichtiges, aber wenn dauerhaft nur die stark frequentierten Regionen aktualisiert werden, dann wird man sich schwer tun ein wirklich hochqualitatives Produkt zu etablieren. Wichtig ist bei einer solchen Onlineapplikation viel mehr als bei anderen die Aktualität. Solange ich auf herkömmliche Navigationssysteme zurückgreifen muss um halbwegs aktuelle Kartendaten zu haben, macht eine Onlinelösung dafür wenig Sinn.

Ein Kommentar

  1. Pingback: Jörg Spielt » Blog Archiv » Achtung: Trojaner auf joergspielt.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert