Kommentare zu: Blog gehackt (was:Was ist nur mit Adsense los?)

Von: Blogeinnahmen der letzten 3 Jahre (2007-2009) | Sebbis Blog

Blogeinnahmen der letzten 3 Jahre (2007-2009) | Sebbis Blog — Fri, 22 Jan 2010 14:30:52 +0000

[...] habe ich mich so gut wie gar nicht mehr um die Einnahmen gekümmert und das sieht man auch. Nachdem im Februar mein Blog gehackt wurde und ich wegen der vielen Spamlinks praktisch aus Google rausgeflogen bin, hatte ich einfach keine [...]

Von: WordPress Blog Absichern - Wordpress - Compboard Blog

WordPress Blog Absichern - Wordpress - Compboard Blog — Tue, 22 Sep 2009 04:10:44 +0000

[...] Zeit zu Zeit liest man immer mal wieder, dass dieses oder jenes (WordPress) Blog “gehackt” und von Fremden für eigene Zwecke missbraucht wurde. [...]

Von: Mike

Mike — Sun, 10 May 2009 18:00:08 +0000

Hast du den Blog schon mal durch den Scanner von http://www.hackalarm24.com durchgejagd? Im übrigen würde ich auch mal kurz bei den Jungs nachfragen. Könnte ja sein, dass die das Problem schon kennen und bereits eine Lösung haben. Als mein xt-commerce-Shop gehackt wurde, haben die mir sehr geholfen.

Von: Blogeinnahmen 1. Quartal 2009 | Sebbis Blog

Blogeinnahmen 1. Quartal 2009 | Sebbis Blog — Wed, 01 Apr 2009 22:44:38 +0000

[...] man erkennen kann, gab im Februar einen großen Einknick. Der Grund war ein Hack auf meine WordPressinstallation und einige hundert Spamlinks, die so unsichtbar in meinem Footer gelandet sind. Mein Blog wurde [...]

Von: Sebbi

Sebbi — Sat, 28 Mar 2009 14:43:14 +0000

Also spontan würde ich jetzt sagen in dem man bei Google nach “Webmastertools” sucht ;)

Von: Manuel Wolff

Manuel Wolff — Sat, 28 Mar 2009 14:10:22 +0000

Boah, das klingt ja heftig die Story. Leider verstehe ich nur Latein ;-)

Wo finde ich die Webmastertools, um zu checken, ob das bei mir auch so ist?

Von: NHQintern: Wordpress-Loch sorgte für kompletten Ausfall | NEWS HQ

NHQintern: Wordpress-Loch sorgte für kompletten Ausfall | NEWS HQ — Fri, 20 Feb 2009 19:38:13 +0000

[...] Infos dazu gibt es im mal wieder erstklassig reagierenden WordPress-Forum und bei Sebbi, dem ich für das Teilen seines Know-Hows insbesondere dankbar [...]

Von: Sebbi

Sebbi — Thu, 19 Feb 2009 17:14:07 +0000

Danke für den Hinweis, ich habe mal meinen Senf zu dem Forenbeitrag dazugegeben.

Liegt wohl an alten WordPressinstallationen und daran, dass wir die Webverzeichnisse nicht voreinander abschotten, d.h. ein Skript kann von einem Webverzeichnis in alle anderen schauen … ich frage mich warum ich Openbasedir überhaupt ausgeschaltet habe?

Von: Michael

Michael — Wed, 18 Feb 2009 23:43:29 +0000

Nichts, mache ich auch, aber es darf natürlich keiner den Server durch veraltete Software irgendwie angreifbar machen. Leuchtet ja wohl ein.

btw:

http://forum.wordpress-deutschland.org/allgemeines/47429-gibts-ne-luecke.html

Von: Sebbi

Sebbi — Wed, 18 Feb 2009 15:50:57 +0000

Was ist falsch daran sich einen Server zu teilen?

Von: Michael

Michael — Wed, 18 Feb 2009 10:51:28 +0000

Welcher Sys-Admin ist so lebensmüde und betreibt so einen Server?

Abmahnsicher bist du nie, aber ein Double-Opt-In sollte hierzulande ausreichend sein.

Von: Sebbi

Sebbi — Tue, 17 Feb 2009 08:58:59 +0000

Ich hoste sie nicht. Sie sind nur alle auf dem selben Server, den wir zusammen benutzen.

@Abos: ist Subscribe to Comments mittlerweile abmahnsicher?

Von: Michael

Michael — Tue, 17 Feb 2009 05:41:56 +0000

Ich wusste ja gar nicht, dass du zehntausende Blogs hostest…

btw: Kommentarabo, pls.

Von: Sebbi

Sebbi — Mon, 16 Feb 2009 15:15:37 +0000

Aus dem selben Grund warum Domainfactory oder Strato nicht die eingesetzten Webskripte ihrer “Kunden” aktualisiert.

Komisch ist nur, dass alle WordPressinstallationen an unterschiedlichen Zeitpunkten infiziert wurden. Manche schon vor Monaten, manche erst vor kurzem. Und wenn ich kein Statistikfreak wäre, wäre es wohl auch niemandem aufgefallen … blöde spamer!

Von: Michael

Michael — Mon, 16 Feb 2009 14:56:31 +0000

Achso, alte WP-Versionen haste noch am laufen. Da wird dann der Hund begraben sein

Wieso aktualisierst du diese nicht?

Von: Sebbi

Sebbi — Sat, 14 Feb 2009 16:35:56 +0000

Im Oktober hat es die Mediengestalter erwischt:
http://www.mediengestalter-weblog.de/index.php/mediengestalter-blog-wordpress-exploit.htm

Davor scheinbar auch linux by examples:
http://linux.byexamples.com/archives/397/wordpress-exploit-we-been-hit-by-hidden-spam-link-injection/

Und dann habe ich auch noch eine sehr genaue Beschreibung des Exploits gefunden:
http://www.teohuiming.name/blog/wordpress-exploit

Erklärt leider nicht woher es kommt und wie das passieren kann. Hab nur hier einen Exploit gefunden, der etwas ähnliches macht und für eine alte WordPress MU Version funktioniert:
http://www.milw0rm.com/exploits/5066

Von: Sebbi

Sebbi — Sat, 14 Feb 2009 16:31:42 +0000

Hmm, ich kann niemand anderen finden, der dieses Problem hat. Und auf unserem Server hat es auch ein Blog erwischt, das eigentlich per htaccess Passwortschutz geschützt ist.

Ich tippe daher wirklich auf eine Schwachstelle in der PHP/Apache Konfiguration und einem automatischen Exploitcode, der halt nur die Server abgrast und sich so irgendwie “installiert”. Wir hatten das Problem schon einmal mit Awstats.

Und wenn der Code dann einmal auf dem Server ist, breitet er sich vielleicht auf alle WordPress Installationen aus? Bei uns war jedenfalls alles infiziert und so gut wie jede WordPressversion, die es gibt sind hier installiert. Alt wie neu ;-)

Nunja, mal schauen, ob es wieder auftritt. Ich überwache jetzt jedenfalls, ob es einen Unterschied zwischen der normalen Version und der Version, die z.B. Google oder Yahoo sehen, gibt.

Der Hack enthielt übrigens eine eigene Adminoberfläche. Wenn ein bestimmtes Cookie gesetzt war konnte man damit den Server überprüfen und checken was alles erlaubt ist und so eventuell einen richtigen Spambot installieren. Ging scheinbar nicht, denn ich konnte nichts finden, aber trotzdem böse…

Von: Sebbi

Sebbi — Sat, 14 Feb 2009 16:25:06 +0000

Hab nachgeschaut, nachdem Google einen bestraft hat muss man scheinbar einen Reinclusion Antrag bei den Webmaster Tools stellen. Hab ich jetzt mal gemacht …

Von: Michael

Michael — Fri, 13 Feb 2009 21:48:26 +0000

OK, das klingt übel. Ich hoffe du findest die genaue Ursache, wäre aber unschön wenn es tatsächlich eine Lücke gibt. Könnte natürlich auch an einem Plugin liegen.

Von: Sebbi

Sebbi — Fri, 13 Feb 2009 21:01:57 +0000

Ich hab den Bug doch mehrfach verlinkt. Auf unserem Server wurden alle WordPress Blogs, egal welche Version, gehackt. Es mag sein, dass es nicht an WordPress liegt, sondern an einer Fehlkonfiguration von PHP/Apache, aber es passierte auch mit der aktuellsten Version.

Das “Plugin” bestand aus 2 Dateien. Einer, die sich nicht veränderte und einer anderen, die aussah wie eine Art Cache und sich ständig änderte.

Ach ja, es wurde auch noch ein versteckter WordPress Nutzer namens “WordPress” angelegt, der Adminrechte hatte aber auch nicht innerhalb von WordPress sichtbar war :/