Gestern abend und heute früh habe ich noch ein paar sehr interessante Infos und Links zu den momentan kursierenden WordPress Exploits gefunden und zunächst hatte ich sie als Update an meinen ursprünglichen Post gehängt. Nach kurzer Überlegung bin ich aber zum Schluss gekommen, dass diese Infos zu wichtig sind, um sie in einem älteren Post schimmeln zu lassen:
Im "offiziellen" WordPress Support-Forum ist letzte Woche ein Thread erschienen, der sich ebenfalls mit einer neuen Art von Exploit auseinandersetzt. In betroffenen Installationen wird im wp-content Verzeichnis ein Verzeichnis mit dem Namen “1″ angelegt, in dem html- und Javascript-Dateien abgelegt sind, die dafür sorgen, dass ein verstecktes Frameset in der seite erzeugt wird, welches die Besucher dann auf ein Poker-Seite redirected.
Unbedingt lesen: WordPress: spam injection ongoing in 2.3.3 (preliminary observations from a honeypot blog) und WordPress: spam injection ongoing in 2.3.3 (secondary observations).
Nachtrag 27.3.2008
Blogsecurity nimmt sich dem Thema an und verweist auf einen Artikel bei cyberinsecure.com und smackdown.
In einigen der Lösungsansätze wird vorgeschlagen, die Cookie-Namen zu verändern, damit die Angreifer nicht mittels eines gefälschten Cookies Schreibrechte in dem Blog bekommen. Ich überlege gerade, ob man nicht dazu die Option aus der wp-config Datei für den Datenbanktabellen-Prefix verwenden könnte und diesen auch an die Cookie (und evtl. auch an den default Admin-Namen) anhängen könnte. Ich habe dazu mal ein Ticket im WordPress Repository gemacht, mal schauen, wie das aufgenommen wird.
Webrocker
6 Reaktionen zu “WordPress Hackereien Revisited”
[...] eben, der das Weltbild dieser Arschlöcher im Großen und Ganzen ausmacht. Mehr dazu bei webrocker und BlogSecurity, bei beiden gibt’s weitere [...]
Ich habe eben bei einem Testblog, das ich für die Theme-Entwicklung benutze, via wp-config.php die Cookienamen geändert. Dann die bestehenden Cookies im Firefox gelöscht. Das Blog setzte anschließend anstandslos neue Cookies mit den angegebenen neuen Namen. So weit, so gut, wenn's denn hilft.
Aber eine wirkliche Lösung ist das ja nicht.
(Ups, ich sehe gerade, das in meinem Pingback oben das böse Wort steht, das mir in meinem Artikel herausflutschte... ;-)
Anscheinend bietet Wordpress seit der Version 2.0.0 die Möglichkeit, die Namen der Cookies in der wp-config.php anzugeben, wie ich einer Antwort auf mein trac.Ticket entnehme:
http://trac.wordpress.org/browser/trunk/wp-settings.php#L285
[...] Zuge der Nachforschungen zu den momentanen WP-Exploits bin ich über dieses Ticket auf trac.wordpress.org gestolpert. [...]
[...] durch eine Art Exploit angelegt und letztlich mit spamhaltigen Seiten gefüllt berichtet auch Webrocker. Inhalte konnte ich in dem auf meinem Server angelegten Verzeichnis noch keine feststellen. Das [...]
[...] tausende von Wordpressblogs ein Verzeichnis mit Spam-Seiten untergeschoben bekamen, werden ebendiese Seiten nun als Trackback-Spam-Schleudern aktiviert: (…) Es ist den [...]
Kommentare sind geschlossen.