Die jüngsten Cracker-Angriffe auf WordPress gehen in die zweite Runde. Dies ist nicht einfach nur ein Hinweis, sondern ein aktueller und dringender Aufruf an alle Blogger. Mehr dazu weiter unten.
Es ist den kriminellen Crackern nicht nur gelungen, massenhaft Blogs mit Werbung für illegale Angebote zu verseuchen, jetzt sorgen sie auch für die massenhafte Verlinkung der übernommenen Blogs durch Trackback-Spam. Dabei wird so vorgegangen, dass die beim Crack hochgeladene Dateien als Ursprung des Trackbacks verwendet werden. Da eine große Breite von regulären und „echten“ WordPress-Blogs von diesen Angriffen betroffen war, erkennt ein Dienst wie Akismet die meisten dieser Trackbacks nicht als Spam. (Allein hier kamen heute über 50 von diesen Trackbacks an, die ich alle händisch als Spam markieren musste. Dass die betroffenen Blogs jetzt als Spamblogs markiert werden, interessiert mich nur wenig.)
Die Trackbacks haben sehr verschiedene Texte in einer großen Bandbreite von Sprachen, aber eine Gemeinsamkeit, die es zumindest ermöglichen sollte, dass diese Seuche nicht in den eigenen Kommentaren erscheint und dort den Verbrechern zuarbeitet. Ein typischer Trackback sieht so aus:
europa casino bonus code
samnabi.com/wordpress/wp-content/1/unbegrenztes-freispiel.htmlunbegrenztes freispiel…
…
Was allen diesen Trackbacks gemeinsam ist, das ist der Verweis auf ein Verzeichnis wp-content/1 – denn dies ist das Verzeichnis, das bei den Angriffen angelegt wird. Wegen dieses Musters gibt es eine ganz einfache Abhilfe für alle WordPress-Blogger, die von dieser Spam betroffen sind.
Im WordPress-Adminbereich kann man unter Einstellungen > Diskussion in einem Eingabefeld Textfragmente angeben, die dazu führen, dass ein Kommentar in die Moderation gestellt oder als Spam behandelt wird. Das eine Feld ist mit „Kommentarmoderation“ überschrieben, das andere mit „Kommentar-Blacklist“. Ich habe in meine Blacklist den Text „wp-content/1“ aufgenommen, da es mir sehr unwahrscheinlich erscheint, dass diese Zeichenkette in einem regulären Kommentar oder in einem Trackback oder Pingback auftauchen wird. Denn Trackbacks und Pingbacks verweisen regulär auf den Blogeintrag, der den geschriebenen Text referenziert.
Ein solcher Eintrag liegt niemals im Verzeichnis wp-content, und dass jemand eine Permalink-Struktur hat, die diese URL generieren kann, erscheint mir als extrem unwahrscheinlich.
Dringender Aufruf an alle Blogger
Sperrt alle Kommentare, Pingback und Trackbacks, die eine Zeichenkette „wp-content/1“ enthalten. Haltet diese Sperre wenigstens so lange aufrecht, bis das Gröbste vorüber ist. (Das kann aber mehrere Monate dauern.) Ein Blog dient der Mitteilung und Kommunikation und ist keine Geschäftsplattform für Malware-Bastler und Kriminelle.
Wenn jemand dennoch Bedenken hat, dass etwas ungesichtet als Spam verloren gehen könnte, kann er die Zeichenkette alternativ unter „Kommentarmoderation“ eingeben. Damit landen die Beiträge in der Moderation und können bei eventuellen Fehlern freigeschaltet werden.
Angesichts der Vielzahl benutzter Sprachen in den Spams erscheint es mir nicht als sinnvoll, die ganzen typischen Schlüsselwörter in die Moderation zu stellen. Ich habe das zunächst versucht, allerdings nur, um festzustellen, dass „Roulette“ in irgendeiner slawischen Sprache „ruleta“ heißt. Die URLs dieser Spamwelle sind zum Glück so eindeutig, dass man sich helfen kann. Akismet kann hingegen zurzeit nicht helfen. Nachtrag: Ich habe allerdings Akismet über das Kontaktformular von dieser Angelegenheit mitgeteilt und gehe davon aus, dass bei einem derart einfachen Muster schnelle Abhilfe möglich ist. Es kann gut sein, dass in ein paar Stündchen für uns alle das Gröbste vorüber ist. Dennoch sollte der Eintrag in die Blacklist gemacht werden, um im Moment auf der sicheren Seite zu sein.
Bitte seht auch zu, dass ihr die Information so gut wie möglich verbreitet. Dieser Text darf beliebig zitiert und überarbeitet werden, er steht unter der Piratenlizenz, damit der Hinweis möglichst nützlich für alle wird.