DDoS-Attacke von bitsadmin.net via wp-xml.php?

Ich liebe Montage, meistens passiert genau an diesen immer etwas Unvorhergesehenes, typischerweise sind das natürlich keine positiven Dinge. Da gestern ein Feiertag war, ist in dieser Woche der Dienstag einer dieser typischen Tage, an denen man zu Wochenbeginn von unliebsamen Dingen geplagt wird. Bei mir wurde heute morgen einer meiner Hauptserver lahm gelegt, der Grund war ein enormer Outgoing-Traffic auf eine einzelne IP-Adresse. Mein Hoster hat dann aus Sicherheitsgründen den Server vom Netz getrennt. Ein Blick in die Logfiles brachte Klarheit.

Was ist passiert?

Ein simples Perl-Script hat ab 03:40 Uhr Massenanfragen an eine IP-Adresse in Palästina geschickt. Hetzner hat dann richtigerweise den Server vom Netz getrennt. Die Infektionsquelle war vermutlich ein altes Gästebuch auf dem gleichen Server, aber zu 100% lässt sich das nicht sagen, evtl. war auch WordPress schuld. Zumindest gab es genau 1 Sekunde vor der Attacke einen Zugriff auf das besagte Gästebuch. Die Folge war aber nicht nur ein Perl-Script, was ausgeführt wurde und einen UDP-Flood ausgelöst hat, nein auch eine Datei mit dem Namen wp-xml.php wurde im Stammverzeichnis der Hauptdomain angelegt. Dort war ein Code-Block drin, wo ein Parameter „z“ mit einem system() Befehl als Hintertür befeuert werden konnte.

Who the Fuck is bitsadmin.net?

Der Schad-Code wurde übrigens von bitsadmin.net gezogen und scheinbar sind noch Hunderte andere WordPress-Blogs betroffen, denn bei genauerer Analyse war im Code ein Verweis zu anderen wp-xml.php-Dateien, die nun von meinem Server aus gesteuert wurden. Die folgenden Maßnahmen waren dann, Prozesse abschießen, überflüssige wp-xml.php löschen, alte Settings wiederherstellen und die Ausführung von system(), exec() und den sonstigen gefährlichen Funktionen via php.ini unterbinden. Zudem habe ich gleich noch das alte Gästebuch-Script abgeklemmt, sicher ist sicher.

Neue WordPress Sicherheitslücke?

Die Frage, die sich mir allerdings stellt, wenn Hunderte Blogs betroffen sind, warum findet man weder zu wp-xml.php noch zu bitsadmin.net irgendwelche Meldungen, die dieses Problem beinhalten. Ist das evtl. sogar eine neue Lücke, die sich irgendwo in WordPress aufgetan hat? Ich denke fürs erste ist die Kiste mit dem Abklemmen der Systemfunktionen zwar wieder sicher, aber wenn man letztlich via WordPress munter PHP-Code ausführen kann, stimmt einen das nicht unbedingt fröhlich.



1 comment so far ↓

#1   Csaba Nagy on 06.14.11 at 17:25

Hallo!

Leider ist das ein typisches Beispiel dafür, das ein Sicherheitslücke geschlossen wird und dann die nächste gefunden wird…

Aber das dazu noch nichts zu finden ist, muss es wohl noch nicht so bekannt oder verbreitet sein.

Wenn aber schon bekannt, nur noch nicht so verbreitet, sollte da aber schnell in Richtung Sicherheit etwas gemacht werden…wenn das wirklich über WordPress funktioniert!

MfG

Csaba

Schreibe einen Kommentar

Benachrichtigung per Mail bei weiteren Kommentaren.