Blog gehackt (was:Was ist nur mit Adsense los?)

Ich bin gerade mal durch ein paar Artikel gesurft und habe mir die Werbung angeschaut. Nur Bullshit in den Werbebannern. Kein Wunder, dass es kaum noch angeklickt wird und wenn, dann nicht mal einen Cent pro Klick wert ist. Die meisten Anzeigen haben auch überhaupt nichts mit dem Inhalt des Artikels zu tun …

Da ist doch was faul?!

Und das ganze passiert seit dem 1. Februar zusammen mit einem extremen Einbruch der Besucher, die von Google kommen. Waren es im Januar noch 2000 bis 2500 Besucher pro Tag auf diesem Blog, sind es jetzt nur noch 500 bis 600. Total irre!

Vorbei die fetten Jahre. Blogge wohl wieder nur für mich und ein paar hundert anstatt tausend andere. Und die 30 Eurocent pro Tag kann sich Google gerne sonstwo hinstecken, wenn sich das nicht bessert. Reicht ja nicht mal für ein Bier :/

Nachtrag:
Hmm … in den Webmastertools unter „wie Google einen sieht“ stehen komische Keywords:
1. cod
2. prescription
3. mentax
4. mevacor
5. mexitil
6. miacalcin
7. micardis
8. overnight
9. discount
10. without
11. buy
12. delivery
13. cheap
14. order
15. purchase
16. online
17. mobic
18. mentat
19. january
20. december

WTF?! Wo?

Ok this is fucked up! Tatsache, wenn ich mich in Google suche und den Cache dort aufrufe, habe ich saumäßig viele Links mit solchen Keywords im Footer stehen! Fuck it … wo kommen die wohl her?

Nachtrag2:
Ok, in dem Text, der an mein Blog angefügt wird, kommt auch ein Adsensebanner mit einer ID „pub-7652328300112263“ vor … wenn man danach sucht findet man zig Leute, die auch gehacket wurden.

Nachtrag3:
curl –no-sessionid –user-agent „Googlebot/2.1 (+http://www.googlebot.com/bot.html)“ http://www.sebbi.de/ liefert den Spam in meinem Blog … scheinbar nur für den Googlebot. Aber wo kommt es her?

Nachtrag4:
Hmm … ein Plugin Hack. Im Spamkarma Ordner lagen zwei Dateien, die auch in der Datenbank in wp_options in der Option „active_plugins“ referenziert werden:

i:31;s:56:“SK2/sk2_plugins/sk2_referrer_check_plugin_02092008.cache“;i:32;s:45:“SK2/sk2_plugins/sk2_referrer_check_plugin.old“;

Beide Dateien enthalten kryptischen PHP-Code und sind am 29. Januar um 1:23 Uhr bzw. die Cache Datei immer beim letzten Seitenaufruf erstellt worden. Damn!

Alles entfernt und es erscheint keine Werbung mehr im Code, wenn der Googlebot auftaucht … mal sehen, ob mein Blog jetzt wieder besser rankt. Und die große Frage: über welche Sicherheitlücke ist das passiert?

Nachtrag5:
Wenn man nach einzelnen Stellen in dem Schadcode sucht, findet man andere WordPress Blogs, die ebenfalls gehackt wurden, bei denen die Datei einem anderen Pluginnamen nach benannt wurde. In der Logdatei vom Apache kann ich zur fraglichen Zeit leider nichts finden … WordPress 2.7. hatte ich da ja schon länger installiert … ob es daran lag? Mitte Januar hatte ich ja auch noch einen Virus auf dem PC, aber danach mein WordPress Passwort geändert. Ich habe keine Ahnung :/

Nachtrag6:
Auch andere Blogs auf unserem Server sind betroffen. Cappellmeister, falls du dich fragst, warum du nicht per Google gefunden wirst … laut Dateidatum war dein Blog schon seit September 2007 infiziert (ich war so frei das Problem zu beseitigen). Keine Ahnung ob man auf das Datum vertrauen kann.

Das Problem scheint zu sein, dass man wohl irgendwie die WordPress Option active_plugins von außen ändern kann und man auch irgendwie eine Datei in das Pluginverzeichnis hochladen kann. Der Hack legt sich dann zu irgendeinem der bereits installierten Plugins in ein tiefes Unterverzeichnis dazu und bleibt unerkannt, weil WordPress in der Pluginliste nur die erste Ebene anzeigt.

Scheint wirklich schon sehr alt zu sein, denn ich habe in einem Backup der WordPress-Dateien von letztem Jahr ebenfalls zwei Bilder gefunden, die eigentlich PHP-Skripte waren. Hmm …

Was lernen wir vorerst daraus? Immer überprüfen, ob man mit solchen Spamlinks gesegnet ist, wenn sich irgendwas bei Google ändert (Pagerank, Platzierungen, Adsenseblöcke mit komischer Werbung drin) …

Nachtrag7:
http://wordpress.org/support/topic/168964?replies=48

Genau das war es … nur ist das schon ewig alt und hier läuft immer die aktuelle WordPress Version. Scheint noch nicht gefixt zu sein :/

35 Antworten auf &‌#8222;Blog gehackt (was:Was ist nur mit Adsense los?)&‌#8220;

    1. Vielleicht. Es waren alle WordPress Blogs auf diesem Server gehackt. Alle mit unterschiedlichen Versionen und Plugins. Ich liebe es … wahrscheinlich ist in einem Monat wieder die Hälfte infiziert …

    2. Hab nachgeschaut, nachdem Google einen bestraft hat muss man scheinbar einen Reinclusion Antrag bei den Webmaster Tools stellen. Hab ich jetzt mal gemacht …

  1. pwned!

    veränder doch den code der die pluins einbindet s, dass keine plugins mit leerem header eingebunden werden, oder der leere header durch irgendwas ersetzt wird. dann siehst du alle plugins auch in deiner oberfläche.

  2. Was nützt mir das? WordPress muss das fixen. Ich bemerkte so einen Dreck ja immerhin nach ein paar Wochen, die anderen Blogs auf unserem Server sind seit Monaten infiziert und keinen juckt’s. Hätte auch eine bösere Modifikation sein können …

  3. Ich hack da jetzt nicht am „core“ rum, nur um beim nächsten Update wieder alles ändern zu dürfen. Mich würde viel mehr interessieren wie es diese Sicherheitslücke, mit der schon so viele ein Problem hatten, noch immer geben kann. Wie verdammt nochmal wurde ich gehackt? Dass „unsichtbare“ Plugins geladen werden ist ja nicht der Hack an sich, sondern, dass sich ein Angreifer in die Liste der aktiven Plugins in der Datenbank eintragen kann …

  4. Liegt wohl eher nahe, dass dir dieses Ei schon vor Urzeiten gelegt wurde.

    Wenigstens verpasst du deinen Kommentatoren nofollow, vielleicht ist es dadurch kein bad neighborhood. *g*

    1. Wie kommst du darauf? Das Dateidatum ist der 29. Januar und ein paar Tage später sackten sowohl die Klickpreise als auch die Besucher von Google stark ein, weil ich quasi aus dem Index geflogen bin. Leider habe ich das in den Webmastertools erst heute gesehen …

      Wäre das vor Urzeiten passiert, hätte ich diese Auswirkungen ebenfalls vor Urzeiten haben müssen, oder nicht?

      1. Weil es keine aktuell bekannte Lücke gibt und ich bezweifle, dass es nur dich erwischt hat. Das wären dann schon mehr Blogs, oder?

        Und wenn sich dieses Plugin selbst aktualisiert, dann sagt das Datum ja nix aus.

        1. Ich hab den Bug doch mehrfach verlinkt. Auf unserem Server wurden alle WordPress Blogs, egal welche Version, gehackt. Es mag sein, dass es nicht an WordPress liegt, sondern an einer Fehlkonfiguration von PHP/Apache, aber es passierte auch mit der aktuellsten Version.

          Das „Plugin“ bestand aus 2 Dateien. Einer, die sich nicht veränderte und einer anderen, die aussah wie eine Art Cache und sich ständig änderte.

          Ach ja, es wurde auch noch ein versteckter WordPress Nutzer namens „WordPress“ angelegt, der Adminrechte hatte aber auch nicht innerhalb von WordPress sichtbar war :/

          1. OK, das klingt übel. Ich hoffe du findest die genaue Ursache, wäre aber unschön wenn es tatsächlich eine Lücke gibt. Könnte natürlich auch an einem Plugin liegen.

          2. Hmm, ich kann niemand anderen finden, der dieses Problem hat. Und auf unserem Server hat es auch ein Blog erwischt, das eigentlich per htaccess Passwortschutz geschützt ist.

            Ich tippe daher wirklich auf eine Schwachstelle in der PHP/Apache Konfiguration und einem automatischen Exploitcode, der halt nur die Server abgrast und sich so irgendwie „installiert“. Wir hatten das Problem schon einmal mit Awstats.

            Und wenn der Code dann einmal auf dem Server ist, breitet er sich vielleicht auf alle WordPress Installationen aus? Bei uns war jedenfalls alles infiziert und so gut wie jede WordPressversion, die es gibt sind hier installiert. Alt wie neu ;-)

            Nunja, mal schauen, ob es wieder auftritt. Ich überwache jetzt jedenfalls, ob es einen Unterschied zwischen der normalen Version und der Version, die z.B. Google oder Yahoo sehen, gibt.

            Der Hack enthielt übrigens eine eigene Adminoberfläche. Wenn ein bestimmtes Cookie gesetzt war konnte man damit den Server überprüfen und checken was alles erlaubt ist und so eventuell einen richtigen Spambot installieren. Ging scheinbar nicht, denn ich konnte nichts finden, aber trotzdem böse…

          3. Aus dem selben Grund warum Domainfactory oder Strato nicht die eingesetzten Webskripte ihrer „Kunden“ aktualisiert.

            Komisch ist nur, dass alle WordPressinstallationen an unterschiedlichen Zeitpunkten infiziert wurden. Manche schon vor Monaten, manche erst vor kurzem. Und wenn ich kein Statistikfreak wäre, wäre es wohl auch niemandem aufgefallen … blöde spamer!

          4. Danke für den Hinweis, ich habe mal meinen Senf zu dem Forenbeitrag dazugegeben.

            Liegt wohl an alten WordPressinstallationen und daran, dass wir die Webverzeichnisse nicht voreinander abschotten, d.h. ein Skript kann von einem Webverzeichnis in alle anderen schauen … ich frage mich warum ich Openbasedir überhaupt ausgeschaltet habe?

  5. Schöne sche… Auf WordPress rumhacken hilft da auch nicht weiter, auch wenn man von anderen Blog-Systemen überzeugt ist.

    Hoffentlich hast du alles gesäubert bekommen und kriegst auch keinen dauerhaften Schaden bei Google ;-)
    Und viel Glück vor einer neu-infektion…

    1. Im Oktober hat es die Mediengestalter erwischt:
      http://www.mediengestalter-weblog.de/index.php/mediengestalter-blog-wordpress-exploit.htm

      Davor scheinbar auch linux by examples:
      http://linux.byexamples.com/archives/397/wordpress-exploit-we-been-hit-by-hidden-spam-link-injection/

      Und dann habe ich auch noch eine sehr genaue Beschreibung des Exploits gefunden:
      http://www.teohuiming.name/blog/wordpress-exploit

      Erklärt leider nicht woher es kommt und wie das passieren kann. Hab nur hier einen Exploit gefunden, der etwas ähnliches macht und für eine alte WordPress MU Version funktioniert:
      http://www.milw0rm.com/exploits/5066

  6. Hast du den Blog schon mal durch den Scanner von http://www.hackalarm24.com durchgejagd? Im übrigen würde ich auch mal kurz bei den Jungs nachfragen. Könnte ja sein, dass die das Problem schon kennen und bereits eine Lösung haben. Als mein xt-commerce-Shop gehackt wurde, haben die mir sehr geholfen.

Kommentare sind geschlossen.