Vigilien.

is there any any? nowhere known some?

Technische Meldung: WordPress-Wurm-Informationen nach dem Bruch.

Gerade habe ich festgestellt, daß die WordPress-Installationen auf struppig.de von einem Wurm befallen waren, der die Weblogs hier für Suchmaschinenspam mißbraucht hat.

Das funktioniert so, daß über die Templates ins WordPress Code eingefügt wird, der neue URLs erzeugt, die im normalen Betrieb, also für Sie und mich, nicht sichtbar sind — wenn man sie aber direkt anspringt, oder eben in Google reinfüttert, zeigen sie ein Kubrick-Wordpress voller Spam an.

Kurz: Kriminelle Sackratten am Werk. Der Wurm hinterlässt eine riesige Liste von Links zu ebenfalls infizierten Installationen — das ist ja die Idee bei der ganzen Sache. Ich mache mir mal kurz die Mühe, das Zeug zu parsen —

Update: Hier ist eine Liste mit 2215 befallenen WordPress-Installationen.

Und Update zum Update: Wer’s nicht glaubt, kann hier für seine Domain die Links raussuchen und staunen, was sein WordPress alles so ausliefert.

Bei befallenen Installationen ist in jedem PHP-Script im Template-Verzeichnis als erste Zeile base64-codiertes Zeug drin, das, wenn man es decodiert (nur den Teil zwischen den Anführungszeichen!), zum Beispiel hiermit die Pfade zu dem Verzeichnis verrät, wo der Wurm sich installiert hat und seine Linklisten speichert. Hier auf struppig.de war es ein Verzeichnis im Quellcode eines Plugins drüben bei Anagnorisis, jw_media_player.
Wenn man das löscht und die Templates wieder sauber macht, ist der Spuk für’s Erste vorbei — ich kann aber im Moment noch nicht sagen, ob besagtes Plugin das Einfallstor ist, oder WordPress selbst, oder der Rechner, auf dem die Installation läuft.

Update 3: Nicht schlecht. Gefunden habe ich: die Linklisten, die falschen Daten, ein paar Files mit Keywords, und zwei PHP-Scripte. Eins davon ist c99/sshell, eine bösartige kleine PHP-Sauerei, um sich auf fremden Rechnern auszubreiten, zur Verschleierung genau 50 mal abwechselnd gezippt und base64-codiert. Ach Kinder. Und dann s.php, das Script der Sackratte. Das ist übel obfuscated und kommt morgen dran. In jedem Fall benutzt es PHP- oder Flash-Exploits, soviel kann man schon sagen.

Link | 25. April 2009, 22 Uhr 43 | Kommentare (3)


3 Kommentare


Interessant. Hierwird suggeriert, daß es an schwachen Paßwörtern liegen könnte.

Comment by stralau | 11:10




aber ist es nicht auch so, daß man beim entdecken/enttarnen/rausbröseln dieser kleinen fiesen scripts andererseits eben auch fasziniert und beeindruckt ist? scheißegal was damit angestellt wurde, aber die -jaja- „kreativität“ dahinter, auch bei viren und trojanern und botnetzen und dem ganzen quatsch, die läßt mich vieles davon gar nicht mehr so schlimm finden. aber ich steh‘ ja eh auf pathos (und „hingabe“ und den ganzen käse).

Comment by frank | 12:24




Klar! Als Rätsel war das hervorragend, an einem leeren Samstagabend. Schmerzt mich auch, daß ich nicht mehr dazu gekommen bin, das Sackrattenscript selbst zu lesen und herauszufinden, von welchem Server es sich updatet — das kann das nämlich.

Daß die reinkommen, beeindruckt mich allerdings nicht sehr. Die machen das beruflich, und ich bin als Admin echt ein Opfer.

Comment by spalanzani | 15:42