Im Laufe der letzten Stunden hatte mein Weblog ungebetenen Besuch. Der kleine Stinker hatte Zugang zum FTP-Server und hat dort ganze Arbeit geleistet.
Vermutlich wurde ein Script verwendet um alle .php Dateien, die auf dem FTP-Server zu finden waren, mit einem kleinen Code zu überschreiben. Das bewirkte dann das Aussehen, was sicherlich einige von Euch in den letzten Stunden zu sehen bekommen haben. Es wurde ein weißer iFrame mit einer kleine Grafik in der linken oberen Ecke angezeigt. Das betraf auch alle nicht von „außen“ aufrufbare Verzeichnisse, wie eine alte Bloginstallation, meine zu Testzwecken installierte Drupalinstallation und das alte Forum. Nun ja, ich habe das dann gleich mal zum Anlass genommen um alten Ballast über Bord zu werfen.
Falls jemand Interesse an dem Code hat, ich habe natürlich die „Arbeit“ des Angreifers gesichert. Ebenso gesichert, wie ich auch regelmäßige BackUps mache. Insofern hat es mich nicht viel Mühen gekostet meinen Weblog wieder herzustellen. Zum Glück ist der Zugang zur Datenbank nicht von Interesse gewesen. Sollte sich der Besucher allerdings meinen Daten vor dem Überschreiben kopiert haben und nun hofft, nach Auswertung der Daten, an die DB zu kommen, so muss ich leider mitteilen, dass sämtliche Zugangsdaten geändert worden sind. Das Einzige was ich nicht auf die Schnelle wieder herstellen konnte, dass ich die Online Gallery. Aber auch die wird wieder kommen.
Wie der ungebetene Gast auf den FTP-Server gekommen ist, lässt sich leidere nicht so einfach feststellen. Allerdings habe ich AllInkl. von der Attacke in Kenntnis gesetzt und die sind schon am arbeiten. Meine Vermutung ist allerdings das neue PlugIn-Updateprozedere. Man kann doch WordPress die Arbeit des Updatens von PlugIns überlassen. Aber dazu muss man natürlich die Zugangsdaten angeben. Der Test dieser Funktion war das einzige Mal, dass ich die Zugangsdaten „außer Haus“ gegeben habe. Dieser Test war demnach verständlicherweise der letzte Test dieser Funktion. Sollte ich nun von weiteren Besuchen verschont bleiben, dann dürfte das das Leck gewesen sein. Wenn es zu weitern Besuchen kommt, dann liegt der Fehler im neue Code des Weblogs.
Hmmm… schon bedenklich. Weißt du denn, wer der Stinkefinger war?
Du bist jetzt schon der 4. Blog, bei dem ich sowas lese! Da muss man sich ja richtig Sorgen machen… so langsam. Liegt es daran, dass es allgemein so ruhig ist zur Zeit, oder bilde ich mir das nur ein?
Hallo, bei mir war es genau das gleiche (hab über Thomas her gefunden).
Meinst du mit dem Plugin-Update die neue WP-2.5-Funktion? Daran kann es nicht liegen, ich hatte nämlich Version 2.3.3 installiert.
Ich vermute ja mal, dass es sich um ein Leck im WP handelt. 🙁 Besonders, wenn ich daran denke, was damals der Grund für meinen ersten Hosterwechsel war – der war nämlich auch durch einen Hacker initiiert worden…. allerdings kam er über irgendeine SQL-Abfrage auf den Server und mischte dort etwas rum. Auf meine Datenbank aber kam er nie.
Erst durch meinen Wechsel zur neuen Blogsoftware wurde es etwas ruhiger, aber die Angriffsversuche gingen noch weiter.
@Julia
Ich werde mich mal mit Dir per Mail in Verbindung setzten. Vielleicht sollte man nicht alles öffentlich besprechen.
Ansonsten dürfte Martina wohl recht haben, der Angriff kam nicht direkt über den FTP-Zugang. Ich habe heute die Server-Logs vom Hoster bekommen und da ist im FTP Bereich überhaupt kein Zugriff in dem fraglichen Zeitraum geloggt. Allerdings sind mit im access-Log so einige Merkwürdigkeiten aufgefallen. Aber das werde ich auch erstmal per Mail versuchen zu klären.
Kommt davon, wenn man nicht die Tür hinter sich zu macht 🙂
Ich hoffe mal, das meine WP-Türen dicht sind…
Das kann zum jetzigen Zeitpunkt wohl niemand sagen. Nach Auswertung der Log-Daten kann ich nur sagen, dass der Zugriff auf jedenfall erst gestern erfolgt ist. Denn die Daten bis zum 15.04 sind, bis auf einige Merkwürdigkeiten die ich noch klären werde, sauber.
Aber im Moment sind regelmäßige BackUps der Installation und der Db angezeigt.
Liegt das Leck in WordPress oder in einem Plugin. Ist das schon bekannt?
Du hast es nicht online, das Kontaktformular. Aber irgendwo hatte ich gelesen, dass gerade über ein Kontaktformular ein entsprechender Code abgesetzt werden könnte. Ob es sich hierbei um eine sog. „Ente“ handelt oder nicht, weiß ich aber nicht mehr.
Es wäre auch mal interessant zu wissen, inwiefern über die Kommentarfunktion nicht eteas „eingegriffen“ werden kann.
Nachdem ich mich heute noch mal durch die Logs vom 16.04 gewühlt habe, scheint es wohl so, dass das Leck nicht in WordPress oder einem der von mir verwendeten PlugIns zu suchen ist.
Die einzigen verdächtigen Zugriffe im fraglichen Zeitraum liefen über eine Coppermine-Installation auf dem Server.
Hmm, die Meldungen häufen sich ja zunehmend, mich würde mal interessieren wo die Lücke liegt.
Hey
Ich hätte ja nie gedacht, das mich das betreffen könnte, aber wenn ich das hier so lese…. verdammt mich gruselts 🙁
@Michael
Wo die Lücke nun in der Software liegt, kann ich Dir nicht sagen. Aber so wie es jetzt aussieht, dürfte es eine veraltete Version der Coppermine-Online-Galerie gewesen sein.
Oh, das wäre aber gut – nicht falsch verstehen, aber es würde dann ja bedeuten das es nicht WP selber ist!
Außerdem meine ich das auch schon in einem anderen Blog gelesen zu haben, dass dessen Betreiber Coppermine im Verdacht hat.
Danke für diese Info!