Blog-Hacker
20. März 2008Robert Basic berichtet das Off The Record gehackt wurde und vermutet das die Attacken auf Blogs zugenommen haben. Mir ist es auch aufgefallen das immer ߶fters Attacken gegen Blogs gefahren werden.
Auch eines meiner kleinen Blogs wurde in den letzten Tagen wiederholt attackiert. Dabei versuchte jemand mit Trackbacks und Kommentaren MySQL-Injections auszuführen. Grob gesagt versuchte also jemand anstatt einer URL bzw. Email-Adresse MySQL-Befehle anzugeben und somit die Datenbank zu knacken. Auch wenn es bis jetzt bei erfolglosen Versuchen blieb, habe ich trotzdem das Blog erst einmal vom Netz genommen.
Eine weitere, mir neue Methode, ist der versuch das Blog über die Referrer zu attackieren. Die Methode an sich ist mir nicht neu, jedoch hatte ich es bis jetzt hier im Blog noch nicht beobachten k߶nnen.
Der Trick ist recht einfach: Einige Suchmaschinen filtern die Suchanfragen nicht, sondern übermitteln reines HTML. Dies machen sich die Angreifer zu Nutze und fügen in die URL etwas HTML-Code ein. Im Screenshot ist so ein Angriff zu sehen, dabei wurde in der URL ein IFrame eingefügt. Der Schwachpunkt hier war das Plugin (Semmelstatz) welches den Referrer nicht nachtrߤglich filterte wodurch versucht wurde das IFrame anzuzeigen.
Zu meinem Glück war die Webseite die in dem IFrame angezeigt werden sollte bereits deaktiviert. Denkbar wߤre aber das über das IFrame Sicherheitslücken im Browser ausgenutzt werden und so nicht nur das Blog sondern ggf. sogar der Server gehackt wird. Werden die Referrer gar im Frontend (z.B. auf der Startseite als “Letzte Suchanfragen” o.ߤ.) angezeigt, ist klar das von solche einem Angriff u.U. nicht nur das Blog selber betroffen ist, sondern jeder Besucher des Blogs attackiert werden kann.
Ich habe jetzt auf die Schnelle das Plugin nachbearbeitet und lasse mir die Referrer nur noch gefiltert anzeigen (in PHP mittels htmlentities($referrer) ). Wer davon keine Ahnung hat oder sich nicht zutraut an seinen Plugins/Blog rumzufummen, sollte solche Plugins wohl besser deaktivieren.
Hallo,
Kannst Du etwas mehr erzählen, und auch nen Tipp geben, wie ich das im Semmelstatz-Plugin sichern kann? Benutze das Tool auch, der Autor von Semmelstatz hat in seinem Blog aber die Kommentare dichtgemacht, so dass ich da nicht mehr fragen kann.
danke für den Hinweis. Ich hab das aber nicht ganz kapiert, wie die Jungs über Refer da rankommen können? Der Screenshot sagt mir nix
Danke!
Gruß, Manuel
Beim IE z.B. gab (oder gibt es) ein paar Sicherheitslücken die so gravierend sind, dass es ausreichte wenn man eine Webseite nur aufrief um mit Viren und Trojanern infiziert zu werden. Leider gibt es ja immer noch genug Menschen die “Updaten” für einen mythischen Kult halten und glauben so etwas sei nicht nötig.
Wenn nun z.B. auf der Startseite die letzten Referrer angezeigt werden, dann wird still und heimlich auch ein IFrame angezeigt. im Screenshot ist zu sehen wie hinter dem Referrer das IFrame eingeblendet wird (nach query=BUY V!AGRA online..). Zum Glück mit einer nicht mehr vorhandenen Seite.
Wird dieses IFrame nun bei einem Besucher angezeigt der noch mit dem IE4 (oder so ähnlich) unterwegs ist, ist der PC ratzfatz mit sonstwas verseucht. Denkbar wäre aber auch, dass die Hacker Sicherheitslücken in anderen Browsern gefunden haben und so in der Lage sind Tastatureingaben abzufangen.
Ich benutze die letzte Version von Semmelstatz (V 3.0.1). Bei älteren Versionen ist es aber ähnlich. In der Datei semmelstatz_func.php steht ab Zeile 183 die Funktion “_showLastReferers”. Ds ist die betreffende Funktion. Dort habe ich in Zeile 202 folgende Änderung vorgenommen:
$referer = $lastreferer->referer;durch
$referer = htmlentities($lastreferer->referer);ersetzt.
Bei älteren Versionen muss man halt die Funktion suchen und dort die Zeile mit
$referer=...Mal eine Frage eines Ahnungslosen in die Runde: Wie sieht das bei gehosteten Blogs wie meinem aus. Kann ich mich da einfach zurücklehnen und hoffen, dass die bei Wordpress schon alles im Griff haben, oder werden solche Blogs mindestens so oft geknackt? Gibt es dazu irgendwelche Erfahrungswerte?
Mir ist kein Fall bekannt wo ein gehostet Blog gehackt wurde. Die Frage wäre bei einem Blog wie dem von Robert Basic besser aufgehoben (ggf. mal Robert anmailen), hier dürften zu wenige mitlesen.