« zurück zur Startseite.
5.September, 2009

Ältere WordPress-Versionen Ziel von Angriffen

Laut einem Blogeintrag von Lorelle gibt es derzeit eine große Angriffswelle auf WordPress-Blogs. Daher sei gesagt: Nur die aktuellste Version von WordPress ist die sicherste! In diesem Fall ist das WP 2.8.4. Alle älteren Versionen haben Sicherheitslücken und können daher potentiell jederzeit einem Hack zum Opfer fallen.
Ein Upgrade, entweder per Autoupgrade (Backup nicht vergessen) oder manuell ist daher drigend angeraten. Auch sollte man immer starke Passwörter verwenden.
Und weiterhin gilt: Wer es nicht braucht, sollte die Benutzerregistrierung abschalten.
Zur aktuellen Angriffswelle gibt es zwei Hinweise die darauf schließen lassen, dass ein Blog gehackt wurde:
Die Permalinks sind seltsam verändert, Beispielsweise: http://example.com/category/post-title/%&(%7B$%7B
eval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/.
Es gibt Benutzer (z.B. “Administrator (2)”) im Blog die du nicht kennst oder niemals angelegt hast.
Lorelle weißt auch darauf hin, dass es zwar diverse Plugins gibt um die Sicherheit des eigenen WordPress zu erhöhen, man sich auf diese aber nicht verlassen sollte. Dem können wir nur zustimmen.

Nachtrag: Wer auf diese Art gehackt wurde, sollte folgenden Beitrag auf Andy Sowards Blog lesen. Danke an Sergej für diesen Hinweis.


jottlieb

Dieser Beitrag wurde am 5. September 2009 um 18:57 von jottlieb in der Rubrik News abgelegt. Dieser Beitrag wurde 7732 mal aufgerufen. Neue Kommentare via RSS 2.0 RSS 2.0 - Trackback Trackback URI

22 Trackbacks

  1. Ältere Wordpress-Systeme gefährdet | OMaximus - Blog am 10. September 2009
  2. Angriffe auf ältere Wordpress-Versionen! | gedankenströme am 6. September 2009
  3. WordPress Sicherheit - Angriffe in den Permalink - WordPress Top 50 am 6. September 2009
  4. 8°44 E  50°06 N am 6. September 2009
  5. Jiinx.net am 6. September 2009
  6. Angriffe auf alte WordPress-Installationen | Webseiten-Infos.de am 6. September 2009
  7. Der Blog von w-s-n.de » Blog Archiv » Ältere Wordpress Versionen in Gefahr am 6. September 2009
  8. Vorsicht, ältere WP Versionen werden angegriffen ! » WordPress, WebService, Kunden, Alle, Suleitec, Hinweis » Suleitec Infoblog am 6. September 2009
  9. Sammelsurium zwischen 2. September 2009 und 6. September 2009 « Text | Design | Code am 7. September 2009
  10. Designarium today « Text | Design | Code am 7. September 2009
  11. WICHTIG: Wordpress updaten- alte Versionen unter Beschuss!News » webwork-magazin.net am 7. September 2009
  12. Alles begann… | Dackworld am 12. September 2009
  13. Chukki.de am 8. September 2009
  14. JK-NETZWELT » Aktualisiert euer Wordpress! am 8. September 2009
  15. Blogwartung im Laufe der Nacht | unnamed feelings am 8. September 2009
  16. WordPress AntiVirus Plugin erkennt Attacke auf Permalinks » Der Multimediablog am 8. September 2009
  17. Sicherheit in WordPress: Das erste AntiVirus-Plugin für WordPress - AntiVirus, WordPress, Plugin, Exploit, Injection - Playground am 9. September 2009
  18. Alles begann… | Dackworld am 9. September 2009
  19. WordPress-Zone am 9. September 2009
  20. Kleiner Blog Update | Kleiner Blog am 13. September 2009
  21. Schnurpsel am 19. September 2009
  22. Wordpress ab 2.8.5 mit disabled_functions oder Suhosin sichern am 30. Oktober 2009

16 Kommentare | Kommentar schreiben

  1. #1 Lutz
    5. September 2009 um 20:02

    Ich kann das Vorgenannte leider nur bestätigen. Bei mir wurde der Schadcode in jede (!) php-Datei eingeschleust. Das Einfallstor war aber nicht Wordpress, sondern der Skin einer mit JAlbum erstellten Webgalerie, die umfangreich php nutzt. In einem stark verschachtelten Unterverzeichnis war die Datei js.php abgelegt, auf die referenziert wurde. Nach Löschen dieser Datei war Sendeschluss.

  2. #2 Sergej Müller
    5. September 2009 um 20:16

    Die Plugins, die der Sicherheit der WordPress Blogs beitragen, sind auch nicht ausgelegt, (nicht bekannte) Sicherheitslücken des Systems zu stopfen.

    Ich machte vor 10 Stunden auf die akute Gefahr aufmerksam, gleichzeitig veröffentlichte ich einen Link mit einer, meiner Meinung nach, simpleren Lösung das Problem zu beseitigen.

    Aber auch hier bestätigt sich: Immer uptodate bleiben und so wenige Optionen nach außen freischalten, wie es nur geht. Extern erreichbare Funktionen sind angreifbar, es ist nur eine Frage der Zeit.

  3. #3 Michelle
    6. September 2009 um 08:32

    Gibt es die Anleitung auch auf Deutsch?
    Ich habe da so meine Schwäche mit dem englischen.

  4. #4 jottlieb
    6. September 2009 um 12:28

    @Michelle: Falls du den Link meinst, falls man gehackt wurde:
    - Einstellungen -> Permalinks aufrufen und den bösen Code löschen
    - Benutzerübersicht aufrufen. Man wird sehen, dass da mehr Admins sind als sein dürften
    - Bei dem User der sich zuletzt registriert hat (sollte die höchste ID haben) den Link anklicken und danach in der Adressleiste bei “…user_id=x….” den Wert um 1 erhöhen. Das sollte das böse neue Admin sein (evtl. auch schon der ursprünglich aufgerufene)
    - Der böse Admin soll einen seltsamen Vornamen haben…diesen Code löschen
    - Rolle auf “registrierter Leser” setzen
    - Danach kann der Benutzer gelöscht werden

  5. #5 Hermann
    6. September 2009 um 15:54

    Diese Angriffe sind anscheinend zurzeit sehr hoch. Alleine in der letzten Woche hatte ich sieben Anmeldungen mit unsinnigen Namen und Mailadressen.

    Da bei mir die Version 2.8.3 aufscheint, dachten die Hacker, sie können sich als Admin eintragen. Ich habe diese Lücke jedoch sofort nach Bekanntwerden geschlossen. Somit kann nichts passieren und ich brauche die “registrierten Leser” nur Löschen.

    Mit Spam habe ich sowieso seit der Installation von Antispam Bee von Sergej Müller, dass ich seit Bestehen nutze, überhaupt keine Probleme mehr.

    LG Hermann

  6. #6 Schnurpsel
    6. September 2009 um 19:45

    Ist denn was zur Ursache bekannt, also wie der Angriff genau funktioniert? Und woher weiß man, daß WP 2.8.4 sicher ist? Nur weil noch kein Blog mit Version 2.8.4 befallen ist?

  7. #7 jottlieb
    6. September 2009 um 20:55

    @Schnurpsel:
    http://wordpress.org/development/2009/09/keep-wordpress-secure/
    WP 2.8.4 ist immun und es scheint dieser Bug zu sein:
    http://blog.wordpress-deutschland.org/2009/08/01/kritische-sicherheitsluecke-in-wordpress-2-8-2.html

  8. #8 Schnurpsel
    6. September 2009 um 23:50

    Aha, danke.
    Das würde aber bedeuen, daß in dem aktuellen Fall alle Blogs nicht betroffen wären, die keine Userregistrierung zulassen, oder?

    Ich hatte allerdings irgendwo gelesen, daß diesesmal das Abschalten der Registrierung nicht helfen soll.

  9. #9 jottlieb
    7. September 2009 um 00:57

    @Schnurpsel:
    Da hab ich leider auch keine gesicherten Kenntnisse drüber. Der “Erfolg” des Wurmes spricht allerdings dafür dass Userregistrierung evtl. nicht erfolgreich sein muss? Allerdings wird ja geschrieben, dass sich der Wurm als registriert und dann über Permalinks…

  10. #10 Sergej Müller
    7. September 2009 um 10:48

    @Schnurpsel:
    Der Wurm nutzt die Sicherheitslücke in der Benutzerverwaltung aus. Das Abschalten der Nutzer-Anmeldungen würde ausreichen, sollte dich jedoch nicht davon abhalten, WordPress zu aktualisieren.

  11. #11 Schnurpsel
    7. September 2009 um 14:59

    @Sergej
    Ja, so war das auch nicht gemeint. Mein Schnurpsel-Blog ist ja auf dem aktuellen Stand.

    Ich war nur etwas verunsichert ob der Aussage (die ich jetzt auf die Schnelle nicht mehr finde), daß es im aktuellen Fall eben nicht ausreicht, die Benutzerregistrierung abzuschalten.

    Generell halte ich es schon für sinnvoll, falls nicht unbedingt erforderlich, die Registrierung zu deaktivieren. Es befreit zwar nicht davon, die Wordpress-Version zeitnah aktuell zu halten, ist aber trotzdem ein, wenn auch nur kleiner Baustein, für eine verbesserte Sicherheit.

  12. #12 Sergej Müller
    8. September 2009 um 19:30

    Ich habe mein AntiVirus-Plugin für WordPress dahingehend erweitert, dass es nun die durch die Attacke manipulierte Permalink-Struktur erkennt und Alarm schlägt.

    Die Funktion im Plugin ist mit diesem Blogbeitrag verknüpft, falls jemand nicht mitbekommen hat, was los war.

  13. #13 eliZZZa
    9. September 2009 um 04:50

    Die Angriffe passieren auch in der Version 2.8.4. Es ist also nicht richtig, dass nur “ältere” Versionen betroffen sind. Ich betreibe etwa 120 WP Installationen, etwa 100 davon 2.8.4 – alle sind betroffen!

    Herzliche Grüße aus Wien,
    eliZZZa

  14. #14 Hans von der Antivirus-Insel
    18. September 2009 um 17:18

    Hat jmd. Erfahrung mit http://techie-buzz.com/wordpress-plugins/wordpress-automatic-upgrade-plugin.html? VG, Hans

  15. #15 jottlieb
    18. September 2009 um 18:39

    @Hans:
    Ich sehe den Sinn von dem Plugin nicht. Genau diese Funktion (Autoupgrade) hat WP doch seit geraumer Zeit integriert.

  16. #16 CL
    5. Oktober 2009 um 08:54

    [...] Erkennung des aktuellen Wurms mit angelegter Permalink-Hintertür [...]



Dein Kommentar »



« zurück zur Startseite.