Stand ab kurz vor 13 Uhr gestern unter Feuer. Neos WordPress.
Wie bereits berichtet hatte ich Besuch. Nach einer sehr kurzen Nacht und jeder Menge Scherben die ich zusammenfegen durfte machte ich mich dann heute früh um 05.30 Uhr daran das System abzusichern und nach dem Übeltäter zu fahnden. Nachdem ich den „wp-admin“ Bereich nun durch eine weitere Passwort-Abfrage gesichert und alle anderen Kennwörter an den relevanten Stellen vorsichtshalber geändert hatte, machte ich mich daran die Logfiles meines Apache Webservers durch zu suchen.
Samstag, 12.47 Uhr:
Die IP Adresse eines türkischen Mobilfunkanbieters startete diverse HTTP GET Abfragen und lootet anscheinend mein WordPress aus. Irgendwann taucht ein POST mit dem Inhalt „/wp-admin/admin.php?page=stats&noheader&chart=flot-stats-data“ auf. Ab hier ist es dann vorbei mir meinen Kenntnissen.
Sanstag, 12.53 Uhr:
So wie es aussieht ist die Schwachstelle gefunden. Es wird damit begonnen eine neue Seite anzulegen und auf die Site des TurkHackTeam verwiesen. Dann wird der User „Neovenator“ gelöscht und das Kennwort des „admin“ Users geändert. Als Kontaktadresse des Admin setzt man die E-Mail Adresse: presans.tht@hotmail.com gesetzt. Ab dann bricht die Hölle los und alle Blogbeiträge werden automatisch gelöscht.
Zugriff auf die Datenbank oder auf den Server selbst hatten die Türken glücklicherweise nicht. Alle Aktionen fanden über WordPress statt. Stolz posted man noch eine URL mit meiner gehackten Seite auf der entsprechenden OP-Seite der Hacker.
Auf meiner Seite sah man am Schluss noch einen Blogbeitrag aus 2010 und eine neue Seite die folgenden Text zum Inhalt hatte
Hacked By Turkhackteam.net //op
“ Deutschland Betrieb! Sie haben gehostet in Ihrem Land können Sie nicht zurück die bösen Worte über unser Land und die PKK-Terroristen feto-maker, und wenn Sie nicht erhalten, die Angriffe fortsetzen wird
Blahgackfasel und Blubberdiblubb. Google Translator lässt schön grüßen
Gegenmaßnahmen:
Gegen 13.04 Uhr leitete ich die Notabschaltung des Apache Webservers ein. Dann machte ich mich daran dass kompromittierte Kennwort und die E-Mail Adresse des „admin“ Benutzers über die MySQL Datenbank wieder neu zu setzen. Darauf hin startete ich den Apache Server, loggte umgehend in WordPress ein und deaktivierte alle Plugins.
Die Nummer mit dem fehlenden Backup der Datenbank hatte ich euch ja schon mitgeteilt. Schweren Herzens killte ich das was von meinem alten Blog noch übrig war und begann damit den Blog von 0 auf neu aufzubauen. Neue Datenbank, neuer Webspace, alles neu. Die Beiträge von 2008 bis 2017 sind nun alle weg und mein Blog sieht jetzt wieder ziemlich mager aus. Egal, das Lehrgeld muss ich bezahlen.
Analyse:
Mir ist immer noch nicht klar wie die Typen es genau geschafft haben meine Site zu entern. Ich war anfänglich noch super sicher dass ich ein WordPress 4.7.2 betrieben habe, sehe aber im ganzen Web nur dass 4.7 und 4.7.1 schwere Schwachstellen haben sollen. Sollte das Autoupdate vielleicht meinen Blog nicht geupdated haben? Wenn ich in meinen Mails nachschaue finde ich auch nur eine Mail dass WordPress automatisch auf 4.7.1. geupdated wurde.
Ich habe den kompletten Anrgiff als Datei aus dem access.log meines Apache Webservers gesichert und stelle ihn den Forensikern unter euch HIER zur Verfügung. Es handelt sich um ein Textfile im .log Format. Wenn mir jemand von euch sagen kann wie der Angriff genau abging wäre ich euch sehr verbunden.
Meine Vermutung soweit: Ich hatte noch WordPress 4.7.1 und da dies unsicher war hatte ich das Pech. Es würde mich zumindest sehr beruhigen dass meine eigene Blödheit daran Schuld ist und nicht eine neue Sicherheitslücke in WordPress, die noch keiner kennt.
Und das wichtigste für heute überhaupt: Danke Erdogan!
Irgendjemand muss ja schuld sein.
4 Kommentare
Zum Kommentar-Formular springen
Ins Log hab ich noch nicht geguggt. Werd erstmal ins Diff 4.7.1->2 guggen, was geaendert ist. Wahrscheinlich war das hier der Ausgangspunkt. https://m.heise.de/security/meldung/WordPress-4-7-2-Entwickler-verschweigen-kritische-Sicherheitsluecke-3616398.html
So ein schei**, ich hoffe das es eine einmalige Sache für dich war. Aber das ist ein Grund warum ich mich dazu entschieden habe meinen Blog über Blogspot laufen zu lassen, statt selber zu Hosten. Gerade in der heutigen Zeit wird es immer wahrscheinlicher das auch kleine Sites hops genommen werden von solchen Aktionen oder über diverse andere.
So auch schon bei einem Kollegen gehabt der mehr oder minder nur für sich einen Blog betreibt und kaum Hits drauf hat aber auch hops ging.
Es ist und bleibt eine schweinerei.
Autor
Ach naja. So wie es aussieht war ich ja selbst schuld. Ich hatte mich auf die Auto-Update Funktion blind verlassen. Da ich auf 4.7.1 und nicht auf 4.7.2 war, musste ein Angriff dieser Art erfolgen. Etwas gutes hat die Sache auf jeden Fall: Ich konnte endlich mal aufräumen. Unter der Haube war in meinem Blog viel serverseitiges Gefriemel, das ich bei dieser Aktion endlich mal entstrüppeln konnte.
Hi Neo, wegen deinen verlorenen Einträgen, schomal im Google Cache nachgeschaut? Evtl. kannst du da nochwas retten, der letzte Shot ist vom 20.02 Februar soweit ich das sehen kann.
http://webcache.googleusercontent.com/search?q=cache:https://pod-express.de&gws_rd=cr&ei=TC-1WNbuA4GvUaCXscgE