8

Don’t Panic! – Spam in WordPress-Blogs

Merkwürdige Vorkommnisse bestimmten gestern einen großten Teil von Spreeblick, auf die ich hier kurz eingehen möchte. Vorneweg: Don’t panic! Alles harmlose Angelegenheiten, die euch nicht schaden konnten.

Morgens die erste Schreckensmeldung, anstatt diesem Beitrag wurde euch eine gepackte Datei zum Download angeboten. Das Problem war aber schnell erkannt, der „Schuldige“ war das Super Cache Plugin, bei dem die Komprimierung in diesem Fall nicht richtig funktionierte. Die gepackte Datei enthielt nichts weiter als die Website, mehr als einen, zugegeben für euch ärgerlichen Klick hat es nicht eingebracht.

Mittags dann die erste Meldung, dass dieser Beitrag im Google Reader statt dem erhofften Text nur Spamlinks anzeigen würde. Darauf möchte ich kurz näher eingehen: Jeder Client, also z.B. euer Browser, identifiziert sich gegenüber einer Website mit dem sogenannten User Agent, d.h. die Website erfährt im Gegenzug zum Beispiel, mit was für einem Browser in was für einer Version unter welchem Betriebssystem ihr unterwegs seid. Suchmaschinen benutzen für ihre Bots ebenfalls einen eigenen User Agent, und auf genau den zielte das böse Skript ab: Nur bei Google Diensten, und auch dann nur zufällig, wurden statt dem Inhalt die Spamlinks angezeigt.

Solche Skripte fängt man sich meistens durch veraltete Plugins ein, daher sollte regelmäßiges Aktualisieren zum Pflichtprogramm eines jeden Blogbetreibers gehören. Einmal befallen lässt sich die Quelle leider nicht so einfach ausmachen. Hilfreich ist es, direkt auf dem Server zu schauen, wann Dateien zum letzten Mal verändert wurden und verdächtige Kandidaten ein bisschen genauer unter die Lupe zu nehmen. Ein Blick in die WordPress-Datenbank kann ebenfalls nie schaden, in der Options-Tabelle gibt es ein Feld active_plugins, in dem alle derzeit aktivierten Plugins verzeichnet sind – verdächtige Dateinamen sollte man überprüfen. PHP-Dateien, in denen Inhalte via base64_decode verschlüsselt werden sind auch mit absoluter Vorsicht zu genießen und meistens mit Schadcode ausgestattet.

Die Fehlermeldungen auf der Startseite waren sicher nicht schön anzusehen, von dem oben genannten aber komplett unabhängig und sonst nicht weiter tragisch.

8 Kommentare

  1. 01
    Frogster

    Ich vewehre mich entschieden gegen die Stigmatisierung der base64-Kodierung!
    Base64 will never be eval.

  2. 02
    hein juppckes

    noch irgendwelche probleme?
    get a life dude.

  3. 03

    „Don’t panic“ ist immer schön… besonders, wenn es in großen, beruhigenden Buchstaben dasteht <3 Douglas Adams

  4. 04

    ein handtuch haette das problem sicher auch gelöst ;)

  5. 05

    Über welches Plugin hast du dir denn den schädlichen Code eingefangen? Kannst du das technisch noch nachvollziehen?

    Gruß Martin

  6. 06

    kleine liste von dingen die (eventuell) helfen:

    – datenbank_prefix ändern (wp_ -> l337_b10g_)
    – wp-content ordner per htaccess absichern, direkt aufrufen nicht möglich
    – xmlrpc und livewriter schnittstelle stilllegen
    http://blogsecurity.net/ lesen
    http://playground.ebiene.de/954/adminbereich-in-wordpress-schuetzen/
    – mod_security mit real time blacklists betreiben
    – user-agent whitelisting
    – wordpress versionsnummern entfernen

  7. 07

    Das mit der gepackten Datei hat mich auch verwundert. Aber so bin ich froh, dass ich mir keinen bösen Virus eingefangen habe.

  8. 08

    „Akismet has caught 20,130 spam for you since you first installed it“

    180 davon kamen in den letzten 2 Jahre rein, der Rest während der paar Monate die ich jetzt bei Twitter bin.

    Leicht O.T., schuldigung. Wollte ich schon immer mal jemandem erzählen. :)