Die Angriffe auf WordPress-Blogs gehen in die zweite Runde

[Nachtwaechter]

Dies ist ein ziemlich dringendes Thema. Ich habe darüber schon gebloggt, aber ich bin der Meinung, dass das Problem und die Abhilfe so schnell wie möglich bekannt werden muss. Deshalb füge ich hier einfach nochmal den Text ein:

Die jüngsten Cracker-Angriffe auf WordPress gehen in die zweite Runde. Dies ist nicht einfach nur ein Hinweis, sondern ein aktueller und dringender Aufruf an alle Blogger. Mehr dazu weiter unten.

Es ist den kriminellen Crackern nicht nur gelungen, massenhaft Blogs mit Werbung für illegale zu verseuchen, jetzt sorgen sie auch für die massenhafte Verlinkung der übernommenen Blogs durch Trackback-Spam. Dabei wird so vorgegangen, dass die beim Crack hochgeladene Dateien als Ursprung des Trackbacks verwendet werden. Da eine große Breite von regulären und „echten“ WordPress-Blogs von diesen Angriffen betroffen war, erkennt ein Dienst wie Akismet die meisten dieser Trackbacks nicht als Spam. (Allein hier kamen heute über 50 von diesen Trackbacks an, die ich alle händisch als Spam markieren musste. Dass die betroffenen Blogs jetzt als Spamblogs markiert werden, interessiert mich nur wenig.)

Die Trackbacks haben sehr verschiedene Texte in einer großen Bandbreite von Sprachen, aber eine Gemeinsamkeit, die es zumindest ermöglichen sollte, dass diese Seuche nicht in den eigenen Kommentaren erscheint und dort den Verbrechern zuarbeitet. Ein typischer Trackback sieht so aus:

europa casino bonus code | xxxxxx.com/wordpress/wp-content/1/unbegrenztes-freispiel.html

unbegrenztes freispiel…

…

Was allen diesen Trackbacks gemeinsam ist, das ist der Verweis auf ein Verzeichnis wp-content/1 — denn dies ist das Verzeichnis, das bei den Angriffen angelegt wird. Wegen dieses Musters gibt es eine ganz einfache Abhilfe für alle WordPress-Blogger, die von dieser Spam betroffen sind.

Im WordPress-Adminbereich kann man unter Einstellungen > Diskussion in einem Eingabefeld Textfragmente angeben, die dazu führen, dass ein Kommentar in die Moderation gestellt oder als Spam behandelt wird. Das eine Feld ist mit „Kommentarmoderation“ überschrieben, das andere mit „Kommentar-Blacklist“. Ich habe in meine Blacklist den Text „wp-content/1“ aufgenommen, da es mir sehr unwahrscheinlich erscheint, dass diese Zeichenkette in einem regulären Kommentar oder in einem Trackback oder Pingback auftauchen wird. Denn Trackbacks und Pingbacks verweisen regulär auf den Blogeintrag, der den geschriebenen Text referenziert.

Ein solcher Eintrag liegt niemals im Verzeichnis wp-content, und dass jemand eine Permalink-Struktur hat, die diese URL generieren kann, erscheint mir als extrem unwahrscheinlich.

Dringender Aufruf an alle Blogger

Sperrt alle Kommentare, Pingback und Trackbacks, die eine Zeichenkette „wp-content/1“ enthalten. Haltet diese Sperre wenigstens so lange aufrecht, bis das Gröbste vorüber ist. (Das kann aber mehrere Monate dauern.) Ein Blog dient der Mitteilung und Kommunikation und ist keine Geschäftsplattform für Malware-Bastler und Kriminelle.

Wenn jemand dennoch Bedenken hat, dass etwas ungesichtet als Spam verloren gehen könnte, kann er die Zeichenkette alternativ unter „Kommentarmoderation“ eingeben. Damit landen die Beiträge in der Moderation und können bei eventuellen Fehlern freigeschaltet werden.

Angesichts der Vielzahl benutzter Sprachen in den Spams erscheint es mir nicht als sinnvoll, die ganzen typischen Schlüsselwörter in die Moderation zu stellen. Ich habe das zunächst versucht, allerdings nur, um festzustellen, dass „Roulette“ in irgendeiner slawischen Sprache „ruleta“ heißt. Die URLs dieser Spamwelle sind zum Glück so eindeutig, dass man sich helfen kann. Akismet kann hingegen nicht helfen.

[H75]

Also mir ist bisher noch nichts aufgefallen. Ausser das ich massenhaft Einträge in den Error-Logs habe, die dafür sprechen, das es zumindest einige versuchen, bei mir rein zu kommen.

Aber ich halte die Augen offen....

Pings, Trackbacks etc werde ich aber nicht sperren. Bisher komme ich ohne Spamfilter zurecht.

[Putzlowitsch]

Ist denn mittlerweile bekannt, wie die betroffenen Blogs überhaupt unter die Kontrolle der Spammer gekommen sind?

Gruß
Ingo

[Nachtwaechter]

Zitat:

Zitat von Putzlowitsch

Ist denn mittlerweile bekannt, wie die betroffenen Blogs überhaupt unter die Kontrolle der Spammer gekommen sind?

Gruß
Ingo

Nein.

Da auch WP 2.3.3 betroffen ist, habe ich die irreführenden Postings einiger WP-Entwickler ignoriert und in dieser Version nach einer möglichen Lücke gesucht. Bislang ist mir aber noch keine ins Auge gefallen. Die verwendeten Plugins der betroffenen Blogs decken eine große Bandbreite ab, so dass man hierüber auch keinen "Verdächtigen" finden kann.

Ich kann zu diesem Thema nur sagen, dass ich selbst bislang verschont blieb. Das kann Glück sein, es kann aber auch heißen, dass sich eine gewisse Vorsicht bei mir auszahlt. Denn ich setze alle Dateirechte so, dass ein Überschreiben oder Anlegen von Dateien mit den Rechten des Webservers nicht möglich ist, außer im Ordner wp-content/uploads.

Also kurz gesagt: Ich setze Dateien 644 (ich will sie ja noch selbst beim Upload überschreiben können) und Verzeichnisse 755 (außer wp-content/uploads, das kriegt 777). Damit funktionieren zwar einige Plugins nicht (etwa WP Database Backup, das will ein Verzeichnis anlegen), aber bislang wurde meine Installation auch noch nicht korrumpiert. Und für einen Backup der Datenbank habe ich zum Glück einen PHPMyAdmin...

[suedkind]

Zitat:

Zitat von Putzlowitsch

Ist denn mittlerweile bekannt, wie die betroffenen Blogs überhaupt unter die Kontrolle der Spammer gekommen sind?

die mir bekannten fälle waren veraltete installationen -> off the record & werbeblogger

[Putzlowitsch]

Hmm, als bei mir sind die Rechte standardmäßig auf 644 bzw. 755 gesetzt, wenn ich etwas per FTP hochlade. Für wp-content/uploads mußte ich das explizit anderes setzen.

Zudem macht es auch noch einen Unterschied, ob PHP als Apache-Modul läuft oder als CGI.
Als Modul, wie z.B. bei all-inkl, kann z.B. die .htaccess mit den Rechten 644 von Wordpress, respektive PHP, nicht geändert werden. Bei Strato läuft PHP als CGI und da reicht 644 nicht, das wird fröhlich überschrieben. Hier muß man tatsächlich 444 setzen. Hängt halt vom Benutzerkontext ab, in dem PHP läuft.

Gruß
Ingo

[Nachtwaechter]

So, ich habe Akismet mal über das Kontaktformular über den aktuellen Angriff unterrichtet. Ich weiß nicht, wie lange die brauchen werden, aber ich denke, dass das Gröbste in ein paar Stündchen für die meisten von uns gegessen ist.

[blogpartei]

@ Nachtwächter:

Wenn ich dich richtig verstanden habe, tritt das Problem bei Blogs auf, die "gekapert" wurden.

Ich habe meine Wordpressversionen auf blogpartei stets noch am selben Tag geupdatet - trotzdem habe ich irgendwann per Zufall im Verzeichnis wp-content ein Verzeichnis gefunden, dessen Namen ich mir leider nicht notiert habe. Auf jeden Fall habe ich darin eine ganze Menge Dateien gefunden mit den einschlägigen Spambegriffen.

Alles gelöscht und gedacht, die Sache sei ausgesessen...

Doch nach meinem Update auf 2.5 kommen so dermaßen massenhaft Spams bei mir rein, dass ich im Moment alle Minute einen Spamtrackback á la groups.google.com etc. aus der Moderation löschen kann.

Immerhin landen sie in der Moderation und nicht direkt im Blog. Hab mir auch auf Empfehlung wp-spamfree installiert - aber der blockt die Trackbacks natürlich nicht.


Was tun? Einfach abwarten und hoffen, dass Askimet bald updatet?

Ich habe auch mal das „wp-content/1“ gesperrt, auch wenn das bei mir NICHT im Trackback steht.



Beispiel für so einen Trackback:

[BLOCKED BY STBV] Acetaminophen-codeine 3. | groups.google.com/group/code(vonmirentfernt)| IP: 64.141.108.29
Allergic symptoms signs codeine….
Buy codeine. Apap codeine. Cheap codeine no prescription. Acetaminophen-codeine 3. Codeine effects. Codeine….
Verlinkt wird auf einen ganz normalen Artikel
blogpartei » Blog Archiv » Gods of Leon



edit: Als Ergänzung: Die Trackbacks nehmen immer dann massiv zu, wenn ich frisch gepostet habe. Ob einer meiner 3 Pings gekapert ist?
http://rpc.pingomatic.com/
http://ping.wordblog.de/
http://rpc.technorati.com/rpc/ping

Ich hab ja keine Ahnung, ob sowas technisch möglich ist, aber vielleicht fangen die den Ping ab und dann gehts los? Keine Ahnung :/

[Nachtwaechter]

Zitat:

Zitat von blogpartei

@ Nachtwächter:

Wenn ich dich richtig verstanden habe, tritt das Problem bei Blogs auf, die "gekapert" wurden.

Das gilt für die Blogs, die ein Verzeichnis wp-content/1 enthalten, die wurden gekapert. Die gegenwärtige Trackback-Flut soll diese gekaperten Blogs verlinken. Das Schlimme an diesen Trackbacks war, dass Akismet sie nicht als Spam erkannt hat. Deshalb habe ich empfohlen, die Zeichenkette wp-content/1 in die Blacklist aufzunehmen.

Zitat:

Zitat von blogpartei

Ich habe meine Wordpressversionen auf blogpartei stets noch am selben Tag geupdatet (...)

Über welches Einfallstor diese Angriffe erfolgen, ist zurzeit noch völlig unbekannt. Sie betreffen bis WP 2.2.3 auch die jeweils aktuellsten WP-Versionen. Das ist es ja, was diese von langer Hand vorbereitete Attacke so schlimm macht.

Zitat:

Zitat von blogpartei

Alles gelöscht und gedacht, die Sache sei ausgesessen...

Auf alle Fälle solltest du noch zwei weitere Dinge tun. Wenn es dir möglich ist, lösche den Account "admin", indem du vorher einen anderen Account für einen Administrator anlegst, dich als dieser einloggst und damit den "admin" löschst. Und. Ändere alle Passwörter, denn es ist möglich, dass die Angreifer die Passwörter einsehen konnten.

Ganz viel Text dazu habe ich hier geschrieben: Aktuelle Angriffe auf WordPress-Blogs bei Unser täglich Spam

Zitat:

Zitat von blogpartei

Doch nach meinem Update auf 2.5 kommen so dermaßen massenhaft Spams bei mir rein, dass ich im Moment alle Minute einen Spamtrackback á la groups.google.com etc. aus der Moderation löschen kann.

Die Masche mit den Google Groups ist leider schon etwas älter und die Trackback-Spam für diese Malware-Schleudern ist seit Wochen massiv. Auch dazu habe ich mal etwas geschrieben:
Click here to see video bei Unser täglich Spam

Wenn Akismet regelmäßig oder häufig versagt, kann man sich behelfen, indem man "groups.google" in die Kommentar-Blacklist übernimmt, so wird wenigstens nicht das eigene Blog zu einem Hilfsmittel für Kriminelle.

Zitat:

Zitat von blogpartei

Was tun? Einfach abwarten und hoffen, dass Askimet bald updatet?

Ich habe auch mal das „wp-content/1“ gesperrt, auch wenn das bei mir NICHT im Trackback steht.

Ich schätze, dass Akismet bereits auf meine Meldung reagiert hat, aber ich werde mich angesichts des Trackback-Aufkommens hüten, die Zeile aus meiner Blacklist rauszunehmen. Leider wurde mir bis jetzt keine Antwort gemailt. Das muss aber nichts bedeuten, denn ich glaube, dass man dort heute einen ganz besonders schlechten und arbeitsreichen Tag hat. Dieser Trackback-Angriff ist nämlich verheerend wirksam.

Zitat:

Zitat von blogpartei

Als Ergänzung: Die Trackbacks nehmen immer dann massiv zu, wenn ich frisch gepostet habe. Ob einer meiner 3 Pings gekapert ist?
http://rpc.pingomatic.com/
http://ping.wordblog.de/
http://rpc.technorati.com/rpc/ping

Ich hab ja keine Ahnung, ob sowas technisch möglich ist, aber vielleicht fangen die den Ping ab und dann gehts los? Keine Ahnung :/

Diese Pings gehen auf verschiedene Dienste, die über den geänderten Bloginhalt unterrichtet werden. Natürlich werden solche Dienste nicht nur von interessierten Menschen genutzt, um interessante Texte zu finden, sondern auch von kriminellen Spammern, um aktiv genutzte Blogs für den Missbrauch zu finden. Es ist kaum möglich, das eine zu erlauben und das andere zu unterbinden.

Selbst, wenn nichts angepingt wird: Die Spammer bedienen sich reichlich aus den Suchergebnissen von Google. Wenn man von interessierten Menschen gefunden werden kann, denn kann man immer auch von Spammern gefunden werden.

Übrigens ist der Ping auf rpc.technorati.com meines Erachtens nicht nötig, weil Pingomatic das bereits erledigt. (Lies aber aber besser noch irgendwo nach.)

Das Entfernen der Pings wird ingesamt kaum eine Besserung bringen. Wenn du in deutscher Sprache bloggst und den Webserver vollständig unter Kontrolle hast, könnte allerdings etwas anderes helfen. (Das erfordert Sorgfalt und etwas Einlesen in die Materie.) Du könnest in der Konfiguration des Webservers die IP-Bereiche des asiatischen Raumes sperren. In meinen Blogs kommt aus diesem Bereich ungefähr 60 Prozent des Spams. Wie gesagt, es ist keine Kleinigkeit, und wenn du weißst, dass du "richtige" Leser dort hast (ich habe die zum Beispiel), denn ist dieser Weg nicht gangbar, da er diese Leser aussperrt. Außerdem könnten Spammer dies durch Verwendung von Proxyservern oder des Tor-Netzwerkes aushebeln. Es ist also eine Maßnahme von nur beschränktem Nutzen, über die ich für mich selbst einmal nachgedacht habe.

[blogpartei]

Da war ja einiges an Hinweisen dabei, danke dafür!

Ich werd's mal machen und dann berichten, ob und was sich (was) ändert.