Montag, 8. März 2010

Wenn Wordpress plötzlich schleicht - itsallbreaksoft.net

Wordpress kommt plötzlich und ohne eigenes Zutun ganz langsam daher? Dann sollte man einmal schauen, was da so alles geladen wird. Entweder im Browser (links unten) oder z.B. in Firefox mit den Web Developer Extensions, wo man sich aufgerufene URLs bequem anzeigen lassen kann.

Taucht eine URL namens itsallbreaksoft.net auf, wurde die eigene Site gehackt. Die Weiterleitung wird per Javascript in die Datei header.php (zu finden unter wp-content/themes/'themenname') injiziert. Gleichzeitig erfolgt über die genannte URL eine Weiterleitung zu paymoneysystem.info - der Admin-C ist ein Sergey Ryabov in Sankt Petersburg.

Ich habe bislang aus Zeitgründen nicht recherchiert, was diese Weiterleitungen den Initiatoren bringen. Primär war es für mich, die gehackte Site schnell wieder lauffähig zu machen und von dem unnützen Ballast zu befreien.

Dies allerdings ist so schwierig nicht: Man öffne die o.g. Datei header.php entweder in einem Editor oder bearbeitet sie unter Wordpress (Design/Editor), sofern die Schreibrechte gesetzt sind. Am Ende der regulären Einträge beginngt dann ein < script > .... und endet mit < /Script >. All dies ist zu löschen und die bereinigte Datei zu speichern. Um Wiederholungstätern den Wind aus den Segeln zu nehmen ist es angeraten, die Datei danach mit Schreibschutz zu versehen.

Fazit: Auch wenn es sich hier um eine eher harmlose Art der Kompromittierung handelt, kann sich die Fehlersuche ziemlich aufwändig gestalten. Von daher sollte man mit Schreibrechten für Verzeichnisse und Dateien überlegt umgehen.

UPDATE

Per Twitter und E-Mail kamen einige Hinweise und Nachfragen zu diesem Beitrag, auf die ich nachfolgend eingehen möchte.

1) Es stimmt: Wenn die Server, auf die weitergeleitet wird, keinen "Durchhänger" haben, bekommt man dies beim Laden der eigenen Seite nicht mit. Aus diesem Grund empfiehlt sich die Verwendung des genannten Tools, welches alle aufgerufenen URLs übersichtlich auflistet.

2) Richtig ist auch, dass Backups und das Rückspielen eines solchen der schnellste und einfachste Weg sind. Nur: Dadurch beseitigt man nur die Auswirkung ohne die Ursachen zu erkennen und Sicherheitslecks zu schließen. Im geschilderten Beispiel ist die Erkenntnis die, dass diese (und weitere) php-Dateien keine Schreibrechte brauchen. Setzt man die Dateien auf "nur lesen", wird dieses Sicherheitsleck geschlossen.





Keine Kommentare:

Blog Feedback