Zum Inhalt springen

Archiv für Juni 2012

WordPress 3.4.1

Hui, vor kurzem kam erst die 3.4 heraus, jetzt wird schon das erste Update hinterher geschickt – anscheinend gab es bei einigen Server/php Versionen und Einstellungen wie "safe-mode" Schwierigkeiten, die nun behoben sind:

Fixes an issue where a theme’s page templates were sometimes not detected.
Addresses problems with some category permalink structures.
Better handling for plugins or themes loading JavaScript incorrectly.
Adds early support for uploading images on iOS 6 devices.
Allows for a technique commonly used by plugins to detect a network-wide activation.
Better compatibility with servers running certain versions of PHP (5.2.4, 5.4) or with uncommon setups (safe mode, open_basedir), which had caused

...

Far A Day Cage - Urwald

Gestern bin ich auf dem Lüften-Festival angesprochen worden, ob ich Lust hätte, mir "eine Performance" anzukucken. Da das Ganze im Bereich der von Miss Anette "Fruchtig" Gloser kuratierten "Art Cargo Bay" passierte, wo allerlei Trashiges, Lustiges, Selbstgebautes, an- und abgefahrenes Low-Brow Zeug rumlungerte, sagte ich spontan "ja", obwohl ich mit "Performance" eher nicht so warm werde, dachte ich zumindestens bis kurz darauf.

Was dann folgte, war - neben dem Konzert von Sharon Jones & ...

Google Conditional Hack, Teil 3

The saga continues… (siehe voriges Post)

Nachdem der Server nun gesäubert und unter genauer Beobachtung steht, konnten wir heute früh sehr zeitnah einen der Hacks verfolgen. Leider ist immer noch nicht klar, wie die Angreifer es schaffen, Dateien auf dem Server zu plazieren oder zu modifizieren, aber jetzt ist klarer, wie der Angriff (oder zumindest eine Variation) läuft.

Innerhalb von wenigen Sekunden wurden innerhalb der htroot zwei php Dateien in unterschiedlichen Verzeichnissen erzeugt, die harmlos-nichtssagende Namen haben und wahrscheinlich bei oberflächlicher Betrachtung nicht weiter auffallen würden, eine "common.php" gibts ja immer irgendwo ;-). Diese Dateien enthielten nichts weiter als mit ...

Google Conditional Hack, Teil 2

Neben dem Script, welches dann schlussendlich den Viagraspamcode ausgibt (siehe neulich), werden noch weitere Scripte in die PHP-Dateien injiziert, diese fungieren dann als Backdoor, um beliebigen (php) Code auszuführen.

Damit das klappt, muss der Code quasi "auf Zuruf" ausgeführt werden. Eine Version, die ich gefunden habe, arbeitet mit eval(); in Verbindung mit base64_decode();, eine andere in Verbindung mit gzinflate(); und noch eine mittels str_rot13();.

Die, die mir am meisten Kopfzerbrechen machte, arbeitet mit preg_replace();, in Verwendung mit dem (bösen!) "e"-Modifier  - d.h. das Ergebnis der Ersetzung wird direkt ausgeführt. Ersetze also irgendeinen String mit einem Funktionsaufruf und *bam* - Code ...

WordPress 3.4 ist da

Benannt "Green" und damit für das Webrockerblog geradezu prädestiniert, bringt der nächste "große" Versionssprung einiges an Neuerungen und Veränderungen mit. Ich werde das gleich mal aktivieren und bin gespannt, wie zum Beispiel die Twitter-Integration mit meinen bisher eingesetzen Lösungen (TwitterTools Plugin, Twitter.js Library) funktionieren.

[…]We’ve expanded our embed support to include tweets: just put a Twitter permalink on its own line in the post editor and we’ll turn it into a beautiful embedded Tweet. And finally, image captions have been improved to allow HTML, like links, in them. […]
This release includes significant improvements to theme customization, custom

...

Google Conditional Hack

Das Wochenende habe ich damit verbracht, mich über eine relativ neue Art von Hack schlau (naja) zu machen, den "google conditional hack": Irgendwann letztes Jahr tauchten vermehrt Seiten auf, die bei einem normalen Besuch mit dem Webbrowser ganz normal aussahen, sobald sie jedoch mit einem User-Agent-String, der auf einen Suchmaschinen-Bot schliessen ließ, besucht wurden, zeigten sie auf einmal jede Menge Viagra- und anderen Medikamentenspam inklusive Links, die allerdings auf weitere Seiten innerhalb der Website verwiesen, wo dann ebenfalls Viagraspam auftauchte.

Das Perfide an diesem Hack: Man merkt zunächst nicht, dass die Seite betroffen ist, für normale Besucher sieht alles ...

Nur die Hadde komm'n 'n Gadde

Home Sweet home…

… manchmal braucht man nur in den Garten hinterm Haus zu gehen …