Bild von eriwst (Flickr)

Begonnen hatte es am 29.01 gegen 00:13 um diese Zeit habe ich geschlafen, sodass ich natürlich nicht mitbekam, dass ich die erste Mail vom Plugin „Limit Login Attempts“ erhielt. Dieses Plugin kann ich allen nur sehr ans Herz legen, es hat mir während des ganzen Angriffes gut geholfen. Hätte ich es nicht eingesetzt so würde es WP – Blogger wohl nicht so schnell in dieser Form wieder verügbar sein. Nun ich dachte mir bei dieser ersten Mail nicht viel, vielleicht hatte jemand am Adminbereich rumgespielt nur aus Spaß.

Dieser Eindruck änderte sich schlagartig gegen 14:37. Ich erhielt eine Mail von WordPress, dass jemand auf Passwort vergessen geklickt hätte. Im Klartext sah diese Mail so aus:

Jemand hat für den folgenden Blog und Benutzernamen das Passwort zurückgesetzt.

http://wp-blogger.de

Benutzername: deichy

Um dein Passwort zurückzusetzen, besuch die folgende Adresse. Wenn du das nicht möchtest, ignoriere diese E-Mail einfach und nichts wird passieren.

***Link zum Zurücksetzen***

Jetzt wurde ich stutzig, denn ich konnte mich sehr wohl an die Mail vom Morgen erinnern. Nur schade, dass dort keine IP steht sonst hätte ich das Ganze mit der Echtzeit Analyse Wassup zurückverfolgen können.

Nachdem das geschehen war, bekam ich weitere Mails vom Plugin „Limit Login Attempts„. Sowohl für De-Script, für WP-Blogger und für eine weitere Kunden-Homepage. Gleichzeitig wurde auf dieser Kundenhomepage auch das Passwort zurückgesetzt. Dank „Wassup“ konnte ich beobachten wie auf

Bild von dongga BS (Flickr)

De-Script und WP-Blogger verdächtigerweise von den gleichen IP’s die xmlrpc.php angesprochen wurde. Unter anderem mit diesen Befehlen, welche einzelne Dateien löschen oder ändern sollen. Das hat in Einzelfällen sogar geklappt.

Außerdem fand ich im Rootverzeichnis der Kunden-Homepage eine .exe Datei. Diese hat die index.php vermutlich geändert. Im Normalfall ist die index.php von WordPress wenige Zeilen lang. Nachdem der Angriff geschehen war, gabs zuerst eine Fehlermeldung beim Aufrufen der Seite welche auf Fehlerhaften PHP Syntax zurückführte. Also schaute ich nach und siehe da keine kurze index.php, nein, das waren 2000 Zeilen Code. Nachdem die .exe Datei gelöscht war und eine alte index.php eingespielt war funktionierte alles wieder problemlos.

Somit fuhr ich abends meinen PC runter in guter Gewissheit, dass alles funktioniert. Vorher waren jedoch noch etwa 6 Mails vom Plugin „Limit Login Attempts“ eingegangen. Jedesmal unterschiedliche IP’s aber der gleiche Hostname. Somit deutet das auf einen gekaperten Server hin. Wie ich später rausfand gehörten diese Server zu Amazon.

Am nächsten Morgen traute ich meinen Augen kaum. 32 Mails vom Plugin, alles unterschiedliche IP’s. Außerdem hatte wieder jemand gegen 1:00 Uhr versucht mein Kennwort auf De-Script zurückzusetzten. Auf Wp-Blogger war der Admin Bereich zerschossen und somit durfte ich ein Backup einspielen.

Nachdem ich dann eine Mail an meinen Server Support schrieb und dieser die betreffenden IP’s sperrte hörten die Angriffe auf. Es wurde eine Beschwerde bei Amazon eingelegt und es stellte sich heraus, dass es Postlink-Server waren von welchen aus der Angriff gestartet wurde.

Jetzt stellt sich die Frage wie ist der Angreifer reingekommen? Durch den Admin Bereich nicht und auch über FTP nicht. Dank Logfiles war es die xmlrpc.php welche oft aufgerufen wurde. Diese Datei dient dazu Trackbacks und Pingbacks zu empfangen sowie für das Fernpublizieren mit z.B. dem WordPress iPhone App. Wer die Datei nicht braucht sollte die Funktion deaktivieren und die Datei löschen. Für meinen Blog, jedoch wird Sie benötigt auch wenn die Datei ein Sicherheitsrisiko darstellt.

Außerdem habe ich das Verzeichnis WP-Admin mit .htaccess geschützt. Ich kann allen nur ans Herz legen das Plugin „Limit Login Attempts“ zu nutzen. Eine weitere Liste wichtiger Plugins findet ihr hier.

Wenn man einmal einen solchen Angriff als Opfer gegenüberstand so wir einem schnell bewusst, dass dort organisierte Kriminalität am Werke ist und der Kampf zwischen den Hackern und den Entwicklern sich immer weiter ausweitet.

Bild von monodromde

Doch auch hier ist man nie ganz geschützt, ob es eine gute oder eine schlechte Nachricht ist, es gibt nie die absolute Sicherheit, aber man kann es Hackern und Angreifern erschweren, die Kontrolle über die Seite zu übernehmen.

• Backup und Datensicherung
  Bevor Änderungen am Blog vorgenommen werden, sollte auf jeden Fall ein Backup gemacht werden, ich habe selbst einmal erlebt, als bei einem Autoupdate von WP 2.9 auf WP 3.0 mir eine MU Version und somit 3 wichtige Seite völlig zerschossen wurden. Daher ist es sehr wichtig Backup von der Datenbank zu machen, dazu gibt es ein kleines Plugin, welches die Arbeit sehr erleichtert: WP-DB-Backup. Doch wenn die Datenbank einmal gehackt wurde, ist es nicht sinnvoll die Datenbank zu exportieren, sondern man sollte dann die Export Funktion von WordPress nutzen, die zumindest alle Seiten und Posts sichert. Ich persönlich nutze immer beides.
• Regelmäßige Updates
  Das wichtigste ist vor allem, das Updaten von WordPress, denn dadurch werden Sicheheitslücken im Code geschlossen, natürlich muss nicht sofort geupdatet, aber so schnell wie möglich.
• WordPress Plugin: Limit Login Attempts
  WordPress lässt von Hause aus unbegrenzt viele Login Versuche zu. Das wäre ein gutes Ziel für einen Brute Force Angriff. Um das zu verhindern gibt es dieses Plugin, man kann einstellen wie viele Login Versuche es gibt, danach wird der Account für z.B. 20 Minuten gesperrt.
• WordPress Plugin: Secure WordPress
  Dieses Plugin wurde von Frank Bueltge geschrieben, er hat es jedoch vor kurzer Zeit an das Unternehmen Site Security Monitor abgegeben. Mit diesem Plugin hat man diverse Einstellungsmöglichkeiten um die Sicherheit zu erhöhen
• WordPress Plugin: WP-MalWatch
  Mit diesem Plugin kann man seine Seite/Blog auf Malware untersuchen lassen und einen geplanten Scan durchführen lassen.
• WordPress Plugin: WP Security Scan
  Damit nicht alle Dateiberechtigungen auf 777 und jeder auf die Dateien zugreifen kann, scannt dieses Plugin die Dateiberechtigungen und gibt an ob sie geändert werden sollten oder nicht.

Achtung:

Die Sicherheit kann auch durch zu viele Plugins verschlechtert werden, es sollten daher nicht genutzte und deaktivierte Plugins gelöscht werden.

Weitere Artikel folgen…