Gehackt. Dümmer geht’s nimmer.
Das Ganze ist schon so peinlich, dass ich mich durchringen musste, darüber zu bloggen. Aber als Warnung an alle Blogger tue ich es doch. Alles fing damit an, dass ich heute einen Tweet von Frank Bültge gelesen hatte. Dort verweist er auf sein Plugin Secure WordPress, welches ich bis dato noch nicht kannte und sofort ausporbieren musste. Und zwar auf apfelquak, weil dort vor ein paar Wochen ein seltsamer Bug in der WP-Installation aufgetreten ist. Aber dazu später mehr.
Das besagte Plugin entfernt unter anderem den Hinweis auf die verwendete WordPress-Version im Quelltext. Bei der Kontrolle ob das auch ordnungsgemäß erfolgt ist, fällt mir auf, dass der HTML Validator einen Fehler anzeigt, den ich bisher noch nicht hatte. Und zwar im Footer in einer Zeile die mir äußerst spanisch vorkommen sollte:
<!-- Footer 1264 | 1 --><span class="footerwp">2009May NetworkUlams <a href='http://apfelquak.de/newsob/search/7-secrets-weight-loss/'>tessellation</a> Hatch8217s minutes | 2005September significance <a href='http://apfelquak.de/newsob/search/south-america-cities/'>Atheist</a> keyboard 2009December | 2009April 2008September <a href='http://apfelquak.de/newsob/login/?ref=header-login&returnURL=http%3a%2f%2f%2fDocs%2fDocument-Detail-12.aspx%3fdoc_id%3d24228245'>Singapore</a> tessellations commander | </span><p>© 2006-2010 <a href="http://natur4you.eu/science/2007/04/28/japan-photo-of-the-week-hana-matsuri/">apfelquak.de</a> |
Ok. Klarer Fall. Das habe garantiert nicht ich da rein geklimpert, sondern jemand Böses. Pfui.
Nach kurzer Suche finde ich außer der verseuchten footer.php
des Themes eine gehackte .htaccess
mit folgender, zusätzlicher Zeile:
RewriteRule ^newsob/* /wp-admin/includes/ [L]
Die Dateien wp-version.php
und wp-vars.php
im Verzeichnis wp-includes
gehören dort ebenfalls nicht rein. Letztere ist sogar binär. Google findet, dass ich nicht allein betroffen bin.
Den Aufruf der wp-vars.php
finde ich ebenfalls bei mir in der footer.php
:
<?php @include_once(ABSPATH . "/wp-includes/wp-vars.php"); ?>
<?=@get_wp_results('f');?>
Und hier in diesem Thread im WordPress-Forum finde ich sogar den oben erwähnten Bug – nämlich dass ich im Backend keine neuen Artikel erstellen konnte.
Tja, was macht man in so einem Fall? Frank Bültge riet mir dazu, mal die Rechte der Installation zu prüfen. Das hatte ich bereits geahnt und mir dazu das Plugin WP Security Scan installiert. Jetzt kommt die Peinlichkeit – so sah es bei mir aus, was da als Ergebnis zum Vorschein kam:
Toll, Martin. Allein das Lesen diverser Security-Artikel reicht nicht. Man muss die Tipps auch mal anwenden! Grml. Und da ich mir sicher bin, dass ich nicht die einzige Pappnase bin, die mit einem WordPress rumwerkelt, das offen wie ein zugiges Parkaus ist – bitte schön – ein paar Links:
- WordPress sicherer machen
- eine auf Sicherheit optmierte .htaccess
- Protect Your WordPress WP-Config So You Don’t Get Hacked
- SSL Verschlüsselung für den Adminzugriff
- AntiVirus für WordPress
- 10 Schritte zum Schutz des Admin-Bereichs
- WordPress gehackt – was tun, eine Schnellhilfe
- More plugins for securing your WordPress install
Wenn das Kind schon in den Brunnen gefallen ist, so wie in meinem Fall, sollte man WordPress noch mal neu installieren. Wenigstens kann ich da noch mit einer Anleitung glänzen, die ich heute selbst und höchstpersönlich auf ihre Funktionstüchtigkeit testen durfte. Was tut man nicht alles für seine Leser…
ich gebe zu, Du machst mir gerade Angst!
Ich bin froh, daß Du das gepostet hast. Und wer jetzt denkt “das ist bei mir alles in Ordnung, so ein Dummhans”, der ist mit Sicherheit der nächste geeignete Kandidat für einen Hack.
Das Plugin WP Security Scan kannte ich noch nicht. Danke.
Danke für den tollen Artikel, die beiden genannten Plugins kannte ich noch nicht. Das einzige, was bei mir faul ist, ist der noch vorhandene Standard Admin User. Das wird nun geändert. Ich hatte ja auch schon bei mir im Blog geschrieben, wie man die WordPress Admin Seite via ssl verschlüsselt. Das ist natürlich auch grob fahrlässig, seinen Admin Zugang über simples http zuzulassen. Hier der Link zum Artikel:
http://www.lepthien.eu/blog/20.....icherheit/
Hier kann man auch das WP Plugin AntiVirus von Sergej, Entwickler von wpSEO, in den Raum werfen.
Hier noch ein Link. 15 Dinge, die man nach einer WordPress Installation erledigen sollte, um den Blog sicherer zu machen:
http://www.daveredfern.com/blo.....wordpress/
Danke. Habe ich oben ergänzt.
Was ich bei mir noch nicht habe, ist die .htaccess im root Verzeichnis. Hat jemand einen Link, wie diese auszusehen hat? Wäre euch sehr dankbar
Uff, danke für die Tipps. Der Scan sah bei mir ähnlich grauenvoll aus.
Für mich sieht das prima aus.
Also restriktiver als nötig.
Beispiel bei w-admin:
“Current Chmod” 710 meint rwx(Lesen,Schreiben,ins Verz. wecheln) für User, (ins Verz. wecheln aber nicht inhalt listen) für Gruppe
Das vorgeschlagene ist 755 erlaubt für Gruppe und Alle anderen lesen und reinwecheln.
Also das deine Seite gehackt wurde hat sicher nix mit den Verzeichnes/Datei Rechten zu tun.
Gruß Emzy
Ja, wohl wahr. Einzig die /wp-admin/index.php hatte mehr Rechte.
Was mir noch aufgefallen ist:
Die wp-config.php hatte nicht alle Secret Keys, die aktuelle WP Installationen haben. Nur die ersten beiden. Ob’s daran liegt?
Nein – im übrigen sind es ab WP 3.0 8 Keys, solltest du schon mal vorsehen.
https://api.wordpress.org/secret-key/1.1/salt/
Wozu sind die Dinger dann überhaupt gut?
siehe kleiner Artikel von mir bei t3n oder im Buch
Das Plugin von Frank kannte ich bereits. Ich verwende aber auch seit geraumer Zeit das “AntiVirus” -Plugin von Sergej. Seit dem keine Probleme mehr gehabt, nachdem vor knapp einem Jahr meine Seite außer Gefecht gesetzt wurde. Dennoch danke für Deinen wichtigen Artikel.
Du wirst lachen – das Plugin war installiert. Erkannt hat es die Veränderung im Footer allerdings nicht. Entweder hat es versagt oder aber (was ich eher annehme) habe ich es nach dem Hack installiert.
Sergej, was meinst du?
Der Footer, wie du ihn oben angibst, ist für mein Plugin überhaupt nicht verdächtig – sind keine PHP-Tags oder sonstige Elemente, die auf eine böse Absicht schließen lassen. Es sind “normale” Links, die sogar alle auf deine Domain zeigen – da gibt es Null Anhaltspunkte für einen Verdacht. Daher auch die fehlende Reaktion seitens Plugin.
Sorry für die verspätete Antwort, musste beim vorherigen Kommentar schnell weg
Doch, PHP war auch drin. Habe ich oben ergänzt. Sorry, dass ich das nicht explizit erwähnt habe, dachte das wurde bereits durch den Link auf den Leidesgenossen deutlich.
Ok, das natürlich was anderes.
Es ist auch so, dass immer neue Techniken zum Einschleusen des Codes “erfunden” und genutzt werden. Diese kann ich im Plugin erst dann abfangen, wenn ich von dem Vorfall etwas mitbekommen, mir den Code analysiert und die Erkennung dafür implementiert habe. Daher bin ich auch auf die Kommunikation der Blogger mehr oder weniger angewiesen (was fast nie geschieht) – erst wenn ich von einem “Einbruch” erfahre, kann ich mein Plugin um die neue Abfangtechnik erweitern.
Bei einem offenem System wird es auch nie anders funktionieren, da werden die Bösen immer einen Schritt voraus sein und ein Blogger muss erst auf die Nase fallen, damit die anderen, die das Plugin einsetzen, sicher vor dieser Art der Angriffe sind.
Habe eben das AntiVirus-Plugin um deinen “Fall” aktualisiert und neue Version herausgebracht.
Ok, hast es geschafft. Jetzt machst Du mir auch Angst.
Ich kann dir diesen Artikel ans Herz legen: http://playground.ebiene.de/95.....schuetzen/
Danke. Habe ich nun auch oben verlinkt.
Dumm? Ich denke nicht. Wie mein Vorkommentator bereits bestätigte, waren deine Verzeichnisrechte restriktiver als die, die vorgeschlagen wurden.
Das, was in den Blogbeiträgen vorgeschlagen wird, ist meiner Meinung nach humbug oder auch “security by obscurity” genannt. Es macht aus meiner Sicht einen Blog nicht sichrer, wenn man einen anderen Tableprefix als wp_ nimmt. Wenn der böse böse Hacker soweit vordringen kann, dass er SQL-Statements absetzen kann, dann bekommt er die Tabellennamen locker raus.
SSL zum Adminbereich würde etwas bringen, wenn deine Leitung abgehört wird oder du an einem freien Hotspot warst. Denke mal, dass das nicht der Fall war.
Eine kleine Möglichkeit besteht, dass – wenn der admin-user noch existiert, ein cookie-spoofing durchgeführt wurde. Und das würde zu den fehlenden Secret Keys passen. Aber ist eine reine Mutmaßung.
Pingback: WordPress gehackt – was tun, eine Schnellhilfe – bueltge.de [by:ltge.de]
Pingback: Adminbereich nur über https | Webseiten-Infos.de
Thx für den echt guten Artikel. Mal direkt bei mir geguckt, bis auf die .htaccess alles grün. Puh, Glück gehabt und das eine Prob gefixt.
Und dumm ist nur, wenn man es besser weiß aber trotzdem anders macht
Danke für den Beitrag, bin über Wikio drauf aufmerksam geworden. Installiere gerade das Security-Plugin.
Grüße Euch,
das Security-Plugin wird denke ich in den Download-Charts ganz schön an Bedeutung gewinnen ^^ Habe ich ebenfalls installiert.
Problem 1: Das /root/ will 0755 hat aber 711 (??). Wie ändere ich diesen und wieso ist mein /root/ auf 711?
Problem 2: Es fehlt eine .htaccess in wp-admin/. Wie muss diese denn aussehen?
Ansonsten alles im grünen-Bereich.
Pingback: Webnews #7: Widersprüchliches Trololo-Scanwich | Andi Licious' Blogosphäre
Danke für den Beitrag und die Liste. Uns ist gerade etwas ähnliches passiert und nu heist es aufräumen und Löcher flicken. Habe erstmal WordPress auf die aktuelle Version gebracht (lange vernachlässigt) und nun werden sämtliche Tipps berücksichtigt .
Pingback: Wichtig: WordPress absichern | admartinator.de
Hey danke für den Tip mit Security Scan. Sah bei mir ganz annehmnbar aus bis auf die fehlende .htaccess in wp-admin/
Kein Plan wie ich die hinzufügen soll oder was reinzuschreiben ist.
Den “bösen” Code den du oben hattest (wp-vwars.php) usw hatte ich auch. Hab mittlerweile alles gelöscht und hoffe ich habe damit nichts kaputt gemacht!
Pingback: WordPress absichern durch SSL-Verschlüsselung des Adminbereich | cmstec
Pingback: WordPress – was braucht man zum Start? | admartinator.de
Danke für den Tipp mit WP Security Scan. Hab es erstmal in allen Blogs installiert, und die Rechtefragen geklärt
Da das Plugin aber offensichtlich Fehler verursacht im Code (sagt zumindest Firebug), hab ichs dann wieder deaktiviert: $(‘myForm’).addEvent(‘submit’, function(e) {
Nun werde ich das Tool von Sergej ausprobieren, mit dessen wpSEO ich schon gute Erfahrungen gemacht habe.
Hab eben den Artikel durch Zufall gesehen in der Kommentarübersicht. Hab das Plugin jetzt mal in meinem Blogs installiert: ERSCHRECKEND!!!
Ok, die 2 wichtigsten Blogs waren sicher, aber 3 andere waren komplett rot. #aahhh!
Pingback: Plugin Parade 2011 | admartinator.de