Mit dem Post Meine Site wurde angegriffen… im WordPress-Forum wurde ein potentieller Angriffspunkt in WordPress öffentlich gemacht, der bereits auf zigtausenden Blogs genutzt wird.

Nachdem die Spammer auf bis jetzt noch ungeklärte Weise Zugriff auf den Server gewinnen können, erzeugen sie einen neuen Ordner mit dem Namen “1” auf der obersten Ebene von /wp-content/, in dem bei einer regulären WordPress-Installation nur die vier Unterordner languages, themes, upload und plugins liegen dürften.

Im diesem neu erzeugten Spamordner findet man eine ganze Reihe von HTML- und JavaScript-Dateien, die die üblichen Malwares verbreiten: Poker- und Viagra-Spam, aber auch Phishing-Versuche mit gefälschten Login-Formularen für Google-Accounts. Der Beginn der Attacken war um den 13. März 2008, und zur Zeit findet Google schon rund 12.000 betroffene Blogs. Ob die angreifbare Schwachstelle in WP 2.3.3 selbst liegt oder in einem Plugin, ist bis jetzt noch nicht geklärt.

Das Wichtigste ist natürlich die Antwort auf die Frage “Wie kann ich feststellen, ob mein eigener Blog betroffen ist?”

Auf die Schnelle hilft folgendes: Gehe mit FTP auf deinen Webspace und suche den Ordner wp-content deiner WordPress-Installation. Wenn dieser Ordner ein Verzeichnis mit dem Namen 1 enthält, ist dein Blog wahrscheinlich betroffen. Die Namen der dort gespeicherten Dateien sind recht vielsagend (poker-video.html, online-kasino-spiel.html und so ähnlich).

Empfehlenswert könnte auch sein, einen Google-Alert für die eigene Website einzurichten, der bei “ungewöhnlichen” Inhalten wie “site:example.com porn” anspringt.

25. März 2008, 10:59 − Abgelegt in

Kommentare

Kommentarfunktion für diesen Artikel geschlossen.