Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Zweite Runde der WP-Angriffe

Mittwoch, 2. April 2008, 20:30 Uhr

Die jüngsten Cracker-Angriffe auf WordPress gehen in die zweite Runde. Dies ist nicht einfach nur ein Hinweis, sondern ein aktueller und dringender Aufruf an alle Blogger. Mehr dazu weiter unten.

Es ist den kriminellen Crackern nicht nur gelungen, massenhaft Blogs mit Werbung für illegale Angebote zu verseuchen, jetzt sorgen sie auch für die massenhafte Verlinkung der übernommenen Blogs durch Trackback-Spam. Dabei wird so vorgegangen, dass die beim Crack hochgeladene Dateien als Ursprung des Trackbacks verwendet werden. Da eine große Breite von regulären und „echten“ WordPress-Blogs von diesen Angriffen betroffen war, erkennt ein Dienst wie Akismet die meisten dieser Trackbacks nicht als Spam. (Allein hier kamen heute über 50 von diesen Trackbacks an, die ich alle händisch als Spam markieren musste. Dass die betroffenen Blogs jetzt als Spamblogs markiert werden, interessiert mich nur wenig.)

Die Trackbacks haben sehr verschiedene Texte in einer großen Bandbreite von Sprachen, aber eine Gemeinsamkeit, die es zumindest ermöglichen sollte, dass diese Seuche nicht in den eigenen Kommentaren erscheint und dort den Verbrechern zuarbeitet. Ein typischer Trackback sieht so aus:

europa casino bonus code
samnabi.com/wordpress/wp-content/1/unbegrenztes-freispiel.html

unbegrenztes freispiel…

Was allen diesen Trackbacks gemeinsam ist, das ist der Verweis auf ein Verzeichnis wp-content/1 – denn dies ist das Verzeichnis, das bei den Angriffen angelegt wird. Wegen dieses Musters gibt es eine ganz einfache Abhilfe für alle WordPress-Blogger, die von dieser Spam betroffen sind.

Im WordPress-Adminbereich kann man unter Einstellungen > Diskussion in einem Eingabefeld Textfragmente angeben, die dazu führen, dass ein Kommentar in die Moderation gestellt oder als Spam behandelt wird. Das eine Feld ist mit „Kommentarmoderation“ überschrieben, das andere mit „Kommentar-Blacklist“. Ich habe in meine Blacklist den Text „wp-content/1“ aufgenommen, da es mir sehr unwahrscheinlich erscheint, dass diese Zeichenkette in einem regulären Kommentar oder in einem Trackback oder Pingback auftauchen wird. Denn Trackbacks und Pingbacks verweisen regulär auf den Blogeintrag, der den geschriebenen Text referenziert.

Ein solcher Eintrag liegt niemals im Verzeichnis wp-content, und dass jemand eine Permalink-Struktur hat, die diese URL generieren kann, erscheint mir als extrem unwahrscheinlich.

Dringender Aufruf an alle Blogger

Sperrt alle Kommentare, Pingback und Trackbacks, die eine Zeichenkette „wp-content/1“ enthalten. Haltet diese Sperre wenigstens so lange aufrecht, bis das Gröbste vorüber ist. (Das kann aber mehrere Monate dauern.) Ein Blog dient der Mitteilung und Kommunikation und ist keine Geschäftsplattform für Malware-Bastler und Kriminelle.

Wenn jemand dennoch Bedenken hat, dass etwas ungesichtet als Spam verloren gehen könnte, kann er die Zeichenkette alternativ unter „Kommentarmoderation“ eingeben. Damit landen die Beiträge in der Moderation und können bei eventuellen Fehlern freigeschaltet werden.

Angesichts der Vielzahl benutzter Sprachen in den Spams erscheint es mir nicht als sinnvoll, die ganzen typischen Schlüsselwörter in die Moderation zu stellen. Ich habe das zunächst versucht, allerdings nur, um festzustellen, dass „Roulette“ in irgendeiner slawischen Sprache „ruleta“ heißt. Die URLs dieser Spamwelle sind zum Glück so eindeutig, dass man sich helfen kann. Akismet kann hingegen zurzeit nicht helfen. Nachtrag: Ich habe allerdings Akismet über das Kontaktformular von dieser Angelegenheit mitgeteilt und gehe davon aus, dass bei einem derart einfachen Muster schnelle Abhilfe möglich ist. Es kann gut sein, dass in ein paar Stündchen für uns alle das Gröbste vorüber ist. Dennoch sollte der Eintrag in die Blacklist gemacht werden, um im Moment auf der sicheren Seite zu sein.

Bitte seht auch zu, dass ihr die Information so gut wie möglich verbreitet. Dieser Text darf beliebig zitiert und überarbeitet werden, er steht unter der Piratenlizenz, damit der Hinweis möglichst nützlich für alle wird.

37 Kommentare für Zweite Runde der WP-Angriffe

  1. […] Hinweis und Abhilfe gegen das Problem: Die Angriffe gegen WordPress-Blogs gehen in die zweite Runde, denn jetzt werden Blogs mit Trackbacks…. Eine Abhilfe gegen das Problem wird im verlinkten Text vorgestellt. […]

  2. MacTV sagt:

    Die Fragen sind doch:
    Wieso ein Ordner in wp-content/1 erstellt werden kann?
    Haben die alle Ihre Serverordner auf 777?
    Liest keiner der gehackten Blogs die Logdateien?

    Fragen über Fragen…

  3. […] gehen weiter. Jetzt gibt es massive Trackback-Spam, die gecrackte Blogs massiv verlinken soll. Die Vorgehensweise der Spammer bringt es mit sich, dass diese Trackbacks von Akismet nicht als Spam …, und deshalb erreichen die Spammer ihr Ziel. Eine einfache Abhilfe gegen das Problem wird im […]

  4. Zu MacTV: Bei mir haben die Angriffe bislang nicht funktioniert, obwohl ich an meinen Logdateien sehen kann, dass es massiv probiert wurde. Ich vermute, dass das daran liegt, dass ich meine Zugriffsrechte im Dateisystem so restriktiv wie möglich setze, so dass nicht durch einen Bug einfach Dateien des Kernsystems ausgetauscht oder neue Dateien angelegt werden können – außer natürlich im regulären Upload-Ordner. Das hat sich in meinem Fall bewährt.

    Leider scheint kaum jemand auf die Idee zu kommen, mal einen Blick in die Logdateien zu werfen. Ich vermute, dass einige nicht einmal wissen, was das ist. Der Schaden ist da, und wir alle müssen jetzt mit der Sch..ße leben.

  5. […] Mehr zu diesem Thema findest Du im Forum.wordpress-deutschland.org und beim Nachtwächter. […]

  6. […] gehen weiter. Jetzt gibt es massive Trackback-Spam, die gecrackte Blogs massiv verlinken soll. Die Vorgehensweise der Spammer bringt es mit sich, dass diese Trackbacks von Akismet nicht als Spam …, und deshalb erreichen die Spammer ihr Ziel. Eine einfache Abhilfe gegen das Problem wird im […]

  7. konqui sagt:

    hm, also Spam Karma 2 filter die dinge sehr gut raus.

  8. […] wie es aussieht gibt es mit Akismet ein Problem. Dieser erkennt nicht wie Spam Karma 2 die TBs als Spam. Sondern hier muss der […]

  9. Zu konqui: Danke für diesen Hinweis. Allerdings hat SK2 auch seine Nachteile, und einer dieser Nachteile ist die enorme Serverlast, die von diesem Filter verursacht wird. Dies führte vor noch gar nicht so langer Zeit zur vorrübergehenden Downtime einiger Blogs auf diesem Server.

    Außerdem hat mir Akismet bis vor etwa fünf Stunden auch den größten Teil des Schrotts rausgefischt. Und dann kam der dicke Angriff hier, und durch den verteilten Chrakter des Angriffs und der verlinkten Seiten ist Akismet vorerst gescheitert. SK2 orientiert sich mit Verfahren, die an künstliche Intelligenz angelehnt sind, an gewissen Mustern und dürfte mit diesem Angriff viel weniger Probleme haben. Aber diese Vorgehensweise hat eben auch ihren Preis.

  10. konqui sagt:

    Jo Last ist auf meinem Server auch hochgegangen. Aber noch hält alles. Hoffe mal das das so bleibt. Jeder Vorteil hat halt immer auch einen Nachteil.

  11. […] gehen weiter. Jetzt gibt es massive Trackback-Spam, die gecrackte Blogs massiv verlinken soll. Die Vorgehensweise der Spammer bringt es mit sich, dass diese Trackbacks von Akismet nicht als Spam …, und deshalb erreichen die Spammer ihr Ziel. Eine einfache Abhilfe gegen das Problem wird im […]

  12. Ich habe eben Akismet über das Kontaktformular Bescheid gegeben und hoffe, dass sich das Problem für die meisten von uns in wenigen Stunden erledigt haben wird. Bis dahin steht hier, was man als Betroffener tun kann.

  13. MacTV sagt:

    Die letzte gefundene Lücke (31.03.08) ist im WordPress-Plugin : WP-Download

    http://www.tecchannel.de/sicherheit/news/1752735/
    bzw. http://www.milw0rm.com

  14. Zu MacTV: Nicht jedes attackierte Blog hatte auch nur ein einheitliches Profil, was die installierten Plugins betrifft. An WP-Download kann ich mich bei keinem betroffenen Blogger erinnern, dessen Konfiguration ich zu Gesicht bekommen habe. Natürlich sollte trotzdem jeder ein Auge darauf haben, keine Sicherheitslöcher in seinem Blog zu verbasteln. Das tägliche Lesen des Feeds von BlogSecurity ist das absolute Minimum an Sorgfalt, und es kostet auch gar nicht so viel Zeit.

    Was hier gerade läuft, das ist von ganz langer Hand und mit immenser krimineller Energie vorbereitet worden. Die Angriffs-Muster, die ich in meinen Blogs erkennen konnte, richteten sich gegen mehrere mögliche Schwachstellen. Und alle Angriffe waren verteilt. Es gab eine Häufung gescheiterter Login-Versuche, die sich wohl gegen den Account „admin“ gerichtet haben, es gab Aufrufe der xmlrpc.php und Versuche, direkt auf Dateien im Verzeichnis wp-content zuzugreifen. (Auch in das Plugin-Verzeichnis.)

    In der Folge wurden hundertausende von Blogs verseucht. Die jetzige Verlinkung der massenhaft hochgeladenen Spam durch Trackback-Spam dürfte ebenfalls von Anfang an geplant gewesen sein.

  15. […] * Zweite Runde der WP-Angriffe […]

  16. […] gehen weiter. Jetzt gibt es massive Trackback-Spam, die gecrackte Blogs massiv verlinken soll. Die Vorgehensweise der Spammer bringt es mit sich, dass diese Trackbacks von Akismet nicht als Spam …, und deshalb erreichen die Spammer ihr Ziel. Eine einfache Abhilfe gegen das Problem wird im […]

  17. […] Siehe hierzu auch den Beitrag von “Unser täglich Spam“. Schlagworte: Spam, Viren, […]

  18. […] Achja. Bitte setzen Sie doch in Ihrem Blog, wenn Sie eines haben und es mit WordPress betreiben in die Kommentar-Blacklist /wp-content/1/, sonst werden womöglich von einer Spam-Welle überrollt, die Akismet momentan nicht aufhalten kann. Mehr dazu bei Herrn Nachtwächter. […]

  19. Webrocker sagt:

    da es mir sehr unwahrscheinlich erscheint, dass diese Zeichenkette in einem regulären Kommentar oder in einem Trackback oder Pingback auftauchen wird.

    … es sei denn, man berichtet darüber auf seinem Blog und erwähnt in der Überschrift oder dem Text dieses Merkmal. Dessen ungeachtet (und obwohl ich gerade einen Artikel mit wp[bindestrich]content/1 in der Überschrift bei mir hinterlassen habe), habe ich das auch in meiner Blacklist aufgenommen.

  20. Tiffy sagt:

    Hallo,

    ich als bekennende PC Blondine muss jetzt mal was fragen: Wo finde ich denn diese Logdateien?
    ich betreibe einen WP Blog, aber habe keine Downloads gemacht kann auch einige Features nicht nutzen. Blogge kostenlos.Vielleicht bin ich ja gar nicht in disem Ausmaß davon betroffen ?
    Meine Blöcke,
    http://aachennet.wordpress.com/
    http://tiffy1609.wordpress.com/
    Was mir auffällt, auf dem alten Blog bei Funpic.de kommen mehr als 10 Spams am Tag aber die werden abgefangen, da ich dort eh auf moderiert gestellt habe.

    LG Tiffy

  21. Zu Tiffy: Keine Sorge, das hat nichts mit der Haarfarbe zu tun. Auch Brünette wissen so etwas oft nicht. 😉

    Der Webserver (das ist einfach gesagt das Programm auf dem Serverrechner, das Seiten über das Internet für einen Abruf durch einen Browser zur Verfügung stellt) führt Buch über jeden einzelnen Zugriff. Hierzu wird für jeden Zugriff eine Zeile Text an eine Datei angehängt, die man die Logdatei nennt. Wenn es Probleme gibt (oder wenn man einfach nur daran interessiert ist, Probleme im Vorfeld zu erkennen), können diese Informationen sehr interessant sein. Wo diese Datei gespeichert wird, hängt von der Konfiguration des Webservers ab, unter Unix-artigen Betriebssystemen ist es meist in einem Verzeichnis unter /var/log

    Wenn man sein WordPress-Blog in eigener Verantwortung betreibt, mietet man sich in aller Regel einen Serverrechner oder einen Webspace von einem Dienstleister. Wie man auf die Logdateien zugreift, ist dabei von Anbieter zu Anbieter und je nach Umfang der Dienstleistung verschieden. Ich kann hier zum Beispiel direkt die Dateien einsehen, andere Dienstleister bieten „nur“ eine Zusammenfassung mit Statistikfunktionen an.

    Bei wordpress.com hat der Blogger solche Probleme nicht, da er sich nicht mit einem eigenen Hosting auseinandersetzen muss. Die gesamte Verantwortung für den technischen Kram liegt bei wordpress.com. Unglücklicherweise sind diese beiden Sachverhalte leicht zu verwechseln, da in beiden Fällen kurz von „WordPress“ die Rede ist.

    Wenn du ein spezielles Problem bei wordpress.com hast oder gar dort gecrackt wurdest, kann du aus deinem Dashboard eine Support-Anfrage auf die Verantwortlichen loslassen. Wenn man seine Mitteilung in Englisch schreibt, wird das Problem oft in weniger als vier Stunden behoben. Ich habe eigentlich fast nur gute Erfahrungen dort gemacht. Für viele Blogger könnte wordpress.com der beste gangbare Weg sein. Aber man kann halt nicht mehr alles mit seinem WP-Blog machen, man kann ihn zum Beispiel nicht in eine Website mit eingebetteten Forum und Galerie verwandeln.

    Auch für Blogger bei wordpress.com gilt aber mein Hinweis, dass man den gemeinsamen Text der gegenwärtigen Trackback-Attacke in die Blacklist aufnehmen sollte, und zwar, bevor diese Seuche so richtig losgeht.

  22. Zu Webrocker: in der URL eines regulären Trackbacks fällt der Slash im Titel weg, so dass ein solcher „echter“ Trackback nicht von der Blacklist erfasst werden sollte. Aber in den WordPress-Code habe ich jetzt dafür nicht geschaut…

    Aua, mein Denkfehler: Natürlich wird der Titel als Text übertragen, ich nehme alles zurück. Diese Spamflut macht mir gerade echt ein bisschen zu schaffen. Wenn ich diese Leute in die Hände kriege!

  23. Tiffy sagt:

    Hallo Nachtwächter,
    vielen Dank für deine Erklärung 🙂
    Wenn ich das jetzt alles richtig verstanden habe gibt es zwei Arten von Word press und meine Art Wp sorgt in meinem Fall für die Sicherheit ?
    Ich habe trotzdem „wp-content/1“ in die Blacklist und kommentar-Moderation aufgenommen. Mit und ohne Gänsefüßchen:)Und die Kommentarfunktion muss von einem Amdin freigegeben werden. Mehr kann ich nicht tun, sollten die auch auf WP com zugreifen wollen liegt das Problem beim Anbieter der soweit ich weis den Server in America hat, obwohl das bestimmt keine Rolle spielt wo der Server liegt ?! 😕 Spam und Cracker finden den Weg bzw. Die Lücke.
    Wie schon gesagt ich habe eher mit dem Spam auf Funpic zu „kämpfen“.

    LG Tiffy

  24. […] gehen weiter. Jetzt gibt es massive Trackback-Spam, die gecrackte Blogs massiv verlinken soll. Die Vorgehensweise der Spammer bringt es mit sich, dass diese Trackbacks von Akismet nicht als Spam …, und deshalb erreichen die Spammer ihr Ziel. Eine einfache Abhilfe gegen das Problem wird im […]

  25. Zu Tiffy: Die Gänsefüßchen sind nicht nötig, sondern sogar falsch. Aber das ist eigentlich eher mein Versäumnis, wenn ich das nicht völlig klar gemacht habe.

  26. Angriffe auf WordPress Blogs…

    Gut, daß es gestern und nicht vorgestern veröffentlicht wurde, sonst würde ich es nicht glauben.
    Es geht um Trackback Spam von geknackten Blogs.
    Lest Euch den Artikel bei spam.tamagothi.de durch.
    Dann tragt in Eure Kommentar Blacklist folgenden Str…

  27. Warum ich froh bin, …

    Serendipity als Blogsoftware im Einsatz zu haben.

    Der Grund dazu steht hier….

  28. […] more about the attack on wp blogs here. It’s shown that the attackers create a subfolder in your wp-contents. So it’s […]

  29. […] ja auch, und so ein Update ist immer mir Risiken verbunden. Doch nach den letzten Wochen war es unumgänglich – man sollte aktuelle Blogsoftware einsetzen. Spam ist im Übrigen ein Problem, welches auf […]

  30. […] Weitere Angriffe auf WordPress und wie man sich schützt […]

  31. Urlaub vorbei……

    … viel passiert! Mein Feed-Reader hat mich gestern den ganzen Tag beschäftigt und fertig bin ich immer noch nicht… 346 Einträge, von denen wenigstens die Überschriften gelesen werden wollen. Einiges interessantes war auch dabei, die R….

  32. […] gehen immer noch Wellen von Angriffen gegen WordPress-Blogs durchs Netz. Einige Blogs rufen dazu auf, die Warnung, sowie Informationen darüber zu verbreiten. Dies wollen […]

  33. Viktor sagt:

    gibt es eine Möglichkeit irgendwelche Logs bei gehostetem WordPress (ohne SSH Zugriff) einzusehen?

  34. Zu Viktor: Das kommt auf den Hoster an. Wenn es ernsthafte Probleme gibt, sollte der Support beim Hoster die Logs rausrücken oder sich selbst um das Problem kümmern.

  35. Quix0r sagt:

    Ich nutze da Zusatz-/Fremdsoftware namens „Cracker Tracker Standalone“. Hat sich bis jetzt sehr gut bewehrt. 🙂

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert