Zum Inhalt springen

Archiv für "Security" (Seite 6)

Mac-Trojaner im Umlauf?

Anscheinend hat sich ein Bösewicht Apple-Rechner als Ziel eines Trojanerangriffs ausgesucht, so meldet es zumindestens das Mac-Fachmagazin spiegelOnline* heute Abend:

Der Trojaner namens OSX.Trojan.iServices.A versteckt sich in einer Raubkopie. Erst seit wenigen Tagen ist iWork 09, die neue Bürosoftware von Apple, überhaupt lieferbar, schon wird sie als Vehikel zur Verbreitung von Schadsoftware genutzt. Betroffen sind allerdings offenbar nur Anwender, die versuchen, sich das Programmpaket auf illegalem Weg aus Tauschbörsen wie dem Bittorrent-Netz zu besorgen. (...)

Uiuiui Tiffy. Ein Schelm, wer Böses dabei denkt. Vielleicht will da jemand die Mac-User-Spreu vom Mac-User-Weizen trennen, denn wenn man diesem Artikel auf macnotes.de ...

Schon wieder eine neue WordPress Version: 2.6.2

Kurz nach dem Erscheinen der Version 2.6.1 gibt es nun die Version 2.6.2, die vor allem für Blogs mit "jeder darf sich registrieren"-Funktionalität empfohlen wird. Erst kürzlich hatte Stefan Esser auf seiner Seite auf die Möglichkeit einer "SQL Column Truncation" Lücke und Schwachstellen der PHP-Funktion "mt_rand()" hingewiesen. Zusammen mit den WP-Entwicklern wurde daran gearbeitet, diese Lücken zu schliessen, die vor allem Blogs mit offenen Registrierungen betreffen.
Eine "handvoll" Bugfixes gibt es noch obendrein.
Mehr dazu im Developer-Blog und bei Stefan.

DIY: Post-Requests mitloggen

Um frühzeitig dahinter zu kommen, ob eine Spamwelle anrollt oder ein neuer Exploit ausgenutzt wird, ist es hilfreich, die Server-Logfiles zu Rate zu ziehen. Wenn auf einmal SQL-Statements oder Javascript-Code oder Verweise auf externe Scripte in Variablen-Werten auftauchen kann man davon ausgehen, dass da gerade jemand versucht, per SQL-Injection, XSS oder sonstwie das Blog zu cracken.
Im Falle von GET Variablen sieht man das noch ganz gut in den Standard-Server Logs, dagegen schweigen sich diese bei POST Variablen über den Inhalt derselben aus.

Will man also Einblick bekommen, mit welchen POST-Variablen das Blog so gefüttert wird, muss man selbst tätig werden. Dafür habe ich mir ein kleines Script gebastelt, das:

Den Post-Request sowie ein paar Informationen, wo er herkommt und wo er hinsoll, in eine Datei schreibt
Mir eine E-Mail mit diesen Informationen schickt

Angeregt wurde das ganze durch die Diskussion über die neuesten WordPress-Exploits bei village-idiot.org. Insbesondere der Ansatz, die Logging-Funktion in die wp-config.php einzubinden, fand ich dort - ich hatte es zunächst in die index.php eingebunden, die aber bei jedem Update aufs Neue geändert werden müsste. Da die wp-config.php in der Regel bei einem Update nicht geändert wird, überlebt die Logging-Funktion also auch künftige Updates.

Ich versuche das hier mal zu skizzieren. Benötigt werden Kenntnisse in PHP, ein Zugang zum Server, der das Ändern von Datei- und Verzeichnisrechten erlaubt und der Zugriff auf ein Verzeichnis ausserhalb der htroot (des Verzeichnisses, welches über das Internet per Browser erreichbar ist).
Das ist nichts für Anfänger!

WordPress Hackereien, revisited 2

Ich kann jeden WordPressanwender nur *eindringlichst* empfehlen, auf die neueste Version (en|de) zu aktualisieren.

Im Zuge der Nachforschungen zu den momentanen WP-Exploits bin ich über dieses Ticket auf trac.wordpress.org gestolpert.
Darin wird erläutert, wie einfach ein Angreifer auf älteren WordPress-Installationen an eine User/Password Kombination herankommt:

(...) With read-only access to the WordPress database, it is possible to
generate a valid login cookie for any account, without resorting to a
brute force attack. This allows a limited SQL injection vulnerability
to be escalated into administrator access. (...)

Das krasse dabei ist: Er muss dazu nicht das Passwort kennen, es ...

WordPress Hackereien Revisited

Gestern abend und heute früh habe ich noch ein paar sehr interessante Infos und Links zu den momentan kursierenden WordPress Exploits gefunden und zunächst hatte ich sie als Update an meinen ursprünglichen Post gehängt. Nach kurzer Überlegung bin ich aber zum Schluss gekommen, dass diese Infos zu wichtig sind, um sie in einem älteren Post schimmeln zu lassen:

Im "offiziellen" WordPress Support-Forum ist letzte Woche ein Thread erschienen, der sich ebenfalls mit einer neuen Art von Exploit auseinandersetzt. In betroffenen Installationen wird im wp-content Verzeichnis ein Verzeichnis mit dem Namen “1″ angelegt, in dem html- und Javascript-Dateien abgelegt ...

WordPress Hackereien

In letzter Zeit fallen mir immer mehr WP-Blogs auf, die als Spam-Link-Schleudern missbraucht werden, zuletzt hatte es Jojos Beetlebum erwischt. Aber auch das Law-Blog und andere wurden schon attackiert.

Dabei gelingt es dem Angreifer, Inhalte an das Blog oder an einen Beitrag anzuhängen, durch Einsatz von CSS-Attributen werden diese Inhalte aber "versteckt", so dass sie für den normalen Besucher der Seite nicht zu sehen sind. Ein Feedreader oder ein Blick in den Quellcode zeigt die eingeschmuggelten Inhalte.

Jetzt fragt man sich, na, wo ist denn der Zweck von Links, die niemand sieht? Die wird ja auch niemand klicken, nicht ...

WordPress 2.3.2 Security Update

Kurz vor Jahresende kommt noch mal ein "urgend security update" des 2.3er WordPress-Branches heraus. Bislang ist nur die originale englische Version erhältlich, aber die angepasste deutsche Version dürfte, wie in der Vergangenheit auch, sehr zeitnah auf WordPress-Deutschland zum Download angeboten werden.

Das Update wird wieder einmal dringend empfohlen, weil es mehrere kritische Lücken stopft, wie z.B. einen Bug, der Posts mit dem Status "Entwurf" sichtbar macht. Auch wird das momentane Verhalten, dass bei Fehlern Meldungen im Browser ausgegeben werden, die die Pfadstruktur des Webservers aufzeigen, und für weitere Angriffe benutzt werden können, geändert.

WordPress Blogroll Spam Exploit

Es ist eine neue Lücke in WordPress aufgetaucht, die es möglich macht, dass fremde Links in die Blogroll eingebaut werden.

Betroffen sind die Versionen 2.1 bis zur aktuellesten, 2.3.

Im WordPress-Repository sind bereits Patches für 2.2x und 2.3 eingebaut, eine aktualisierte WP Version ist aber offiziell noch nicht veröffentlicht.

Übrigens...

... morgen treten die neuen "Hacker-Paragraphen" in Kraft. Also, wer sein System gegen Eindringlinge selbst testen möchte, sollte das noch heute machen, ab morgen ist das nämlich illegal, genauso wie das Aufzeigen von Sicherheitslücken mit Proof-Of-Concept.