Neue angriffe auf alte wordpress-versjonen

Es scheint eine neue welle von angriffen auf installazjonen alter wordpress-versjonen zu geben. Unter welchen umständen diese angriffe gelingen und wie die angreifer genau vorgehen, konnte ich noch nicht analysieren.

Mir liegt gerade ein frisch gekräcktes wordpress-2.3.3-blog zur analyse vor. In diesem blog wurde die datenbank vollständig gelöscht, ferner wurde der inhalt des upload-ordners zerstört. Wer kein bäckapp hat, der hat unter umständen viel arbeit auf einem schlag verloren.

Konfiguration des blogs:

  • WordPress 2.3.3
  • Benutzerregistrierung war möglich
  • Restriktive dateirechte, nur der upload-ordner war schreibbar
  • Es existierte der standard-user „admin“ mit der user-id „1“

Vorgehensweise des angreifers.

  • Offenbar ist dem angreifer ein login geglückt.
  • Dies geschah wahrscheinlich über eine wörterbuchattacke. Die wp-login.php wurde über stunden hinweg zwei bis drei mal in der sekunde aufgerufen, und zwar immer mit einem sehr seltsamen redirect_to, der unter anderen manchmal die zeichenkette javascript:alert('xssyedinthe_bekir') enthielt, aber auch immer wieder mit langen relativen pfaden an dateien wie /etc/passwd oder /etc/shadow kommen wollte. Anfangs gingen diese angriffe ab 22:19 uhr von der IP-adresse 84.180.242.203 aus. Die gesamte Vorgehensweise deutet auf ein typisches skriptkiddie hin, das zum glück einmal auf ein schwaches Passwort und einen existierenden jusernamen „admin“ stieß.
  • Vor der wörterbuchattacke versuchte der angreifer offenbar eine schwachstelle in einem plugin namens wp-slimstat (kenne ich nicht, wird es aber wohl geben) auszunutzen. Immer wieder kam es zu versuchen, etwas javascript über einen parameter anzugeben, um eine injection hinzukriegen.
  • Während des mutmaßlich automatisierten angriffes kam es auch zu einer ansicht der seite im browser, der angreifer hat sich scheinbar auch für inhalte des blogs interessiert. Inbesondere das impressum hat er sich angeschaut, ebenso wie ein mit dem blog verbundenes bbpress-forum. Dies geschah mit einem firefox 2.0.0.16.
  • Um 23:59 uhr wechselte die IP-adresse des angreifers zu 140.116.245.113, interessanterweise glückte der angriff jetzt sehr schnell. Ob da noch ein weiteres problem in der konfiguration lag, muss ich noch analysieren. (Es ist eine unchristliche zeit für so etwas.)
  • Der angreifer schaute sich von hand ein wenig im blog um und klickte sich heiter durch den admin-bereich, als ob er zum ersten mal ein wordpress gesehen hätte.
  • Gegen 4:36 hatte der angreifer die IP-adressen 81.227.87.69 und 89.248.169.108. Er hat eine datei c99.php hochgeladen, die praktisch eine komplette shell mit den rechten des webservers ist. Leider wurde diese datei auch im applohd-verzeichnis ausgeführt und ermöglichte dem angreifer die zerstörung der darin liegenden dateien. Gut, dass er sich nicht weiter umgeschaut hat, kann man nur sagen, denn dieser websörver war nicht in allen punkten so gut abgesichtert, wie man das eigentlich tun sollte…
  • Am ende gelang es dem angreifer, das blog einmal neu zu installieren. Sehr wahrscheinlich war ihm jetzt auch der username und das passwort für den zugriff auf die datenbank bekannt. Er hat keine vollständige löschung der datenbank vorgenommen, sondern offenbar nur ein paar tabellen entfernt.
  • Am ende hat sich der angreifer nach der neuinstallation einfach angemeldet und einen eigenen beitrag mit hämischem und kindischem text verfasst.

Wie verhindert man so einen angriff:

  • Sichere passwörter nehmen! Und! Sichere passwörter nehmen!
  • Regelmäßig bäckapps machen! Und! Regelmäßig bäckapps machen!
  • Immer den jusernamen „admin“ nach der installation eines wordpress löschen. Eine wörterbuchattacke ist schwieriger, wenn jusername und passwort geraten werden müssen.
  • Auch restriktive dateirechte schützen nicht vor angriffen. Aber hier haben sie vielleicht schlimmeres verhindert. Die vorgehensweise gegen ende zeigte auch zeichen von frustration, da sollte wenigstens noch zerstört werden, was möglich ist. Aus dem muster des angriffes wird schon ein bisschen kenntlich, dass der angreifer weiter gehende ziele hatte.
  • Selbst, wenn es absurd klingt, sollte gelegentlich ein bäckapp des ordeners wp-content/uploads vorgenommen werden, da hier alle daten zerstört werden können
  • Wer ein plackinn namens wp-slimstat hat, sollte sich sofort eine alternative suchen. Darüber wurde ein angriff versucht, der gescheitert ist. Die wörterbuchattacke war aufwändiger. Mir ist das passwort dieser installation bekannt, und wenn es sich nicht um ein sehr schwaches passwort gehandelt hätte, wäre dieser angriff wohl aufgegeben worden.
  • Sichere passwörter nehmen! Und! Sichere passwörter nehmen!

Ich hoffe, es hilft anderen, schweren schaden zu vermeiden.

Eine Antwort zu “Neue angriffe auf alte wordpress-versjonen

  1. Ach so, bevor es jemand nochmal nachschaut. Die IP-adressen sind natürlich fröhlich über die weltgeschichte verteilt; sogar die skriptkiddies können also inzwischen botnetze für ihre angriffe benutzen…

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.