Blog gehackt (was:Was ist nur mit Adsense los?)

Ich bin gerade mal durch ein paar Artikel gesurft und habe mir die Werbung angeschaut. Nur Bullshit in den Werbebannern. Kein Wunder, dass es kaum noch angeklickt wird und wenn, dann nicht mal einen Cent pro Klick wert ist. Die meisten Anzeigen haben auch überhaupt nichts mit dem Inhalt des Artikels zu tun …

Da ist doch was faul?!

Und das ganze passiert seit dem 1. Februar zusammen mit einem extremen Einbruch der Besucher, die von Google kommen. Waren es im Januar noch 2000 bis 2500 Besucher pro Tag auf diesem Blog, sind es jetzt nur noch 500 bis 600. Total irre!

Vorbei die fetten Jahre. Blogge wohl wieder nur für mich und ein paar hundert anstatt tausend andere. Und die 30 Eurocent pro Tag kann sich Google gerne sonstwo hinstecken, wenn sich das nicht bessert. Reicht ja nicht mal für ein Bier :/

Nachtrag:
Hmm … in den Webmastertools unter „wie Google einen sieht“ stehen komische Keywords:
1. cod
2. prescription
3. mentax
4. mevacor
5. mexitil
6. miacalcin
7. micardis
8. overnight
9. discount
10. without
11. buy
12. delivery
13. cheap
14. order
15. purchase
16. online
17. mobic
18. mentat
19. january
20. december

WTF?! Wo?

Ok this is fucked up! Tatsache, wenn ich mich in Google suche und den Cache dort aufrufe, habe ich saumäßig viele Links mit solchen Keywords im Footer stehen! Fuck it … wo kommen die wohl her?

Nachtrag2:
Ok, in dem Text, der an mein Blog angefügt wird, kommt auch ein Adsensebanner mit einer ID „pub-7652328300112263“ vor … wenn man danach sucht findet man zig Leute, die auch gehacket wurden.

Nachtrag3:
curl –no-sessionid –user-agent „Googlebot/2.1 (+http://www.googlebot.com/bot.html)“ http://www.sebbi.de/ liefert den Spam in meinem Blog … scheinbar nur für den Googlebot. Aber wo kommt es her?

Nachtrag4:
Hmm … ein Plugin Hack. Im Spamkarma Ordner lagen zwei Dateien, die auch in der Datenbank in wp_options in der Option „active_plugins“ referenziert werden:

i:31;s:56:“SK2/sk2_plugins/sk2_referrer_check_plugin_02092008.cache“;i:32;s:45:“SK2/sk2_plugins/sk2_referrer_check_plugin.old“;

Beide Dateien enthalten kryptischen PHP-Code und sind am 29. Januar um 1:23 Uhr bzw. die Cache Datei immer beim letzten Seitenaufruf erstellt worden. Damn!

Alles entfernt und es erscheint keine Werbung mehr im Code, wenn der Googlebot auftaucht … mal sehen, ob mein Blog jetzt wieder besser rankt. Und die große Frage: über welche Sicherheitlücke ist das passiert?

Nachtrag5:
Wenn man nach einzelnen Stellen in dem Schadcode sucht, findet man andere WordPress Blogs, die ebenfalls gehackt wurden, bei denen die Datei einem anderen Pluginnamen nach benannt wurde. In der Logdatei vom Apache kann ich zur fraglichen Zeit leider nichts finden … WordPress 2.7. hatte ich da ja schon länger installiert … ob es daran lag? Mitte Januar hatte ich ja auch noch einen Virus auf dem PC, aber danach mein WordPress Passwort geändert. Ich habe keine Ahnung :/

Nachtrag6:
Auch andere Blogs auf unserem Server sind betroffen. Cappellmeister, falls du dich fragst, warum du nicht per Google gefunden wirst … laut Dateidatum war dein Blog schon seit September 2007 infiziert (ich war so frei das Problem zu beseitigen). Keine Ahnung ob man auf das Datum vertrauen kann.

Das Problem scheint zu sein, dass man wohl irgendwie die WordPress Option active_plugins von außen ändern kann und man auch irgendwie eine Datei in das Pluginverzeichnis hochladen kann. Der Hack legt sich dann zu irgendeinem der bereits installierten Plugins in ein tiefes Unterverzeichnis dazu und bleibt unerkannt, weil WordPress in der Pluginliste nur die erste Ebene anzeigt.

Scheint wirklich schon sehr alt zu sein, denn ich habe in einem Backup der WordPress-Dateien von letztem Jahr ebenfalls zwei Bilder gefunden, die eigentlich PHP-Skripte waren. Hmm …

Was lernen wir vorerst daraus? Immer überprüfen, ob man mit solchen Spamlinks gesegnet ist, wenn sich irgendwas bei Google ändert (Pagerank, Platzierungen, Adsenseblöcke mit komischer Werbung drin) …

Nachtrag7:
http://wordpress.org/support/topic/168964?replies=48

Genau das war es … nur ist das schon ewig alt und hier läuft immer die aktuelle WordPress Version. Scheint noch nicht gefixt zu sein :/


Beitrag veröffentlicht

in

von

Schlagwörter:

Kommentare

35 Antworten zu „Blog gehackt (was:Was ist nur mit Adsense los?)“

  1. Avatar von frank

    Vielleicht wird es Zeit über eine weitere Alternative nachzudenken?

  2. Avatar von Sebbi

    Alternative zu was? Ich wurde offensichtlich gehackt …

  3. Avatar von Fridaynite
    Fridaynite

    WordPress eben. Welcome to the Club. Wer das heute noch einsetzt, hat es nicht anders verdient.

  4. Avatar von Cappellmeister

    Das heißt, dass die Werbeeinnahmen und Besucherzahlen demnächst wieder rocken werden? ;-)

    1. Avatar von Sebbi

      Vielleicht. Es waren alle WordPress Blogs auf diesem Server gehackt. Alle mit unterschiedlichen Versionen und Plugins. Ich liebe es … wahrscheinlich ist in einem Monat wieder die Hälfte infiziert …

    2. Avatar von Sebbi

      Hab nachgeschaut, nachdem Google einen bestraft hat muss man scheinbar einen Reinclusion Antrag bei den Webmaster Tools stellen. Hab ich jetzt mal gemacht …

  5. Avatar von Sebbi

    Der Bug ist sogar bekannt:
    http://core.trac.wordpress.org/ticket/6871
    bzw.
    http://core.trac.wordpress.org/ticket/5564

    Määäh. Was schlägst du als Alternative vor Fridaynite? WordPress ist halt das Windows in der Bloggerwelt. Weit verbreitet und deshalb ein beliebtes Angriffsziel. Nur weil keiner mehr was anderes verwendet, heißt das nicht, dass andere Software sicherer ist, weil sie seltener Sicherheitprobleme hat …

  6. Avatar von Frank
    Frank

    pwned!

    veränder doch den code der die pluins einbindet s, dass keine plugins mit leerem header eingebunden werden, oder der leere header durch irgendwas ersetzt wird. dann siehst du alle plugins auch in deiner oberfläche.

  7. Avatar von Sebbi

    Was nützt mir das? WordPress muss das fixen. Ich bemerkte so einen Dreck ja immerhin nach ein paar Wochen, die anderen Blogs auf unserem Server sind seit Monaten infiziert und keinen juckt’s. Hätte auch eine bösere Modifikation sein können …

  8. Avatar von Frank
    Frank

    „Was nützt mir das?“
    […]
    „Hätte auch eine bösere Modifikation sein können …“

    Jo, so isses!

  9. Avatar von Sebbi

    Ich hack da jetzt nicht am „core“ rum, nur um beim nächsten Update wieder alles ändern zu dürfen. Mich würde viel mehr interessieren wie es diese Sicherheitslücke, mit der schon so viele ein Problem hatten, noch immer geben kann. Wie verdammt nochmal wurde ich gehackt? Dass „unsichtbare“ Plugins geladen werden ist ja nicht der Hack an sich, sondern, dass sich ein Angreifer in die Liste der aktiven Plugins in der Datenbank eintragen kann …

  10. Avatar von Michael

    Liegt wohl eher nahe, dass dir dieses Ei schon vor Urzeiten gelegt wurde.

    Wenigstens verpasst du deinen Kommentatoren nofollow, vielleicht ist es dadurch kein bad neighborhood. *g*

    1. Avatar von Sebbi

      Wie kommst du darauf? Das Dateidatum ist der 29. Januar und ein paar Tage später sackten sowohl die Klickpreise als auch die Besucher von Google stark ein, weil ich quasi aus dem Index geflogen bin. Leider habe ich das in den Webmastertools erst heute gesehen …

      Wäre das vor Urzeiten passiert, hätte ich diese Auswirkungen ebenfalls vor Urzeiten haben müssen, oder nicht?

      1. Avatar von Michael

        Weil es keine aktuell bekannte Lücke gibt und ich bezweifle, dass es nur dich erwischt hat. Das wären dann schon mehr Blogs, oder?

        Und wenn sich dieses Plugin selbst aktualisiert, dann sagt das Datum ja nix aus.

        1. Avatar von Sebbi

          Ich hab den Bug doch mehrfach verlinkt. Auf unserem Server wurden alle WordPress Blogs, egal welche Version, gehackt. Es mag sein, dass es nicht an WordPress liegt, sondern an einer Fehlkonfiguration von PHP/Apache, aber es passierte auch mit der aktuellsten Version.

          Das „Plugin“ bestand aus 2 Dateien. Einer, die sich nicht veränderte und einer anderen, die aussah wie eine Art Cache und sich ständig änderte.

          Ach ja, es wurde auch noch ein versteckter WordPress Nutzer namens „WordPress“ angelegt, der Adminrechte hatte aber auch nicht innerhalb von WordPress sichtbar war :/

          1. Avatar von Michael

            OK, das klingt übel. Ich hoffe du findest die genaue Ursache, wäre aber unschön wenn es tatsächlich eine Lücke gibt. Könnte natürlich auch an einem Plugin liegen.

          2. Avatar von Sebbi

            Hmm, ich kann niemand anderen finden, der dieses Problem hat. Und auf unserem Server hat es auch ein Blog erwischt, das eigentlich per htaccess Passwortschutz geschützt ist.

            Ich tippe daher wirklich auf eine Schwachstelle in der PHP/Apache Konfiguration und einem automatischen Exploitcode, der halt nur die Server abgrast und sich so irgendwie „installiert“. Wir hatten das Problem schon einmal mit Awstats.

            Und wenn der Code dann einmal auf dem Server ist, breitet er sich vielleicht auf alle WordPress Installationen aus? Bei uns war jedenfalls alles infiziert und so gut wie jede WordPressversion, die es gibt sind hier installiert. Alt wie neu ;-)

            Nunja, mal schauen, ob es wieder auftritt. Ich überwache jetzt jedenfalls, ob es einen Unterschied zwischen der normalen Version und der Version, die z.B. Google oder Yahoo sehen, gibt.

            Der Hack enthielt übrigens eine eigene Adminoberfläche. Wenn ein bestimmtes Cookie gesetzt war konnte man damit den Server überprüfen und checken was alles erlaubt ist und so eventuell einen richtigen Spambot installieren. Ging scheinbar nicht, denn ich konnte nichts finden, aber trotzdem böse…

          3. Avatar von Michael

            Achso, alte WP-Versionen haste noch am laufen. Da wird dann der Hund begraben sein

            Wieso aktualisierst du diese nicht?

          4. Avatar von Sebbi

            Aus dem selben Grund warum Domainfactory oder Strato nicht die eingesetzten Webskripte ihrer „Kunden“ aktualisiert.

            Komisch ist nur, dass alle WordPressinstallationen an unterschiedlichen Zeitpunkten infiziert wurden. Manche schon vor Monaten, manche erst vor kurzem. Und wenn ich kein Statistikfreak wäre, wäre es wohl auch niemandem aufgefallen … blöde spamer!

          5. Avatar von Michael

            Ich wusste ja gar nicht, dass du zehntausende Blogs hostest…

            btw: Kommentarabo, pls.

          6. Avatar von Sebbi

            Ich hoste sie nicht. Sie sind nur alle auf dem selben Server, den wir zusammen benutzen.

            @Abos: ist Subscribe to Comments mittlerweile abmahnsicher?

          7. Avatar von Michael

            Welcher Sys-Admin ist so lebensmüde und betreibt so einen Server?

            Abmahnsicher bist du nie, aber ein Double-Opt-In sollte hierzulande ausreichend sein.

          8. Avatar von Sebbi

            Was ist falsch daran sich einen Server zu teilen?

          9. Avatar von Michael

            Nichts, mache ich auch, aber es darf natürlich keiner den Server durch veraltete Software irgendwie angreifbar machen. Leuchtet ja wohl ein.

            btw:

            http://forum.wordpress-deutschland.org/allgemeines/47429-gibts-ne-luecke.html

          10. Avatar von Sebbi

            Danke für den Hinweis, ich habe mal meinen Senf zu dem Forenbeitrag dazugegeben.

            Liegt wohl an alten WordPressinstallationen und daran, dass wir die Webverzeichnisse nicht voreinander abschotten, d.h. ein Skript kann von einem Webverzeichnis in alle anderen schauen … ich frage mich warum ich Openbasedir überhaupt ausgeschaltet habe?

  11. Avatar von X
    X

    Schöne sche… Auf WordPress rumhacken hilft da auch nicht weiter, auch wenn man von anderen Blog-Systemen überzeugt ist.

    Hoffentlich hast du alles gesäubert bekommen und kriegst auch keinen dauerhaften Schaden bei Google ;-)
    Und viel Glück vor einer neu-infektion…

  12. Avatar von jirjen?!

    Und was nun? Jede php-Datei überprüfen?!

    1. Avatar von Sebbi

      Im Oktober hat es die Mediengestalter erwischt:
      http://www.mediengestalter-weblog.de/index.php/mediengestalter-blog-wordpress-exploit.htm

      Davor scheinbar auch linux by examples:
      http://linux.byexamples.com/archives/397/wordpress-exploit-we-been-hit-by-hidden-spam-link-injection/

      Und dann habe ich auch noch eine sehr genaue Beschreibung des Exploits gefunden:
      http://www.teohuiming.name/blog/wordpress-exploit

      Erklärt leider nicht woher es kommt und wie das passieren kann. Hab nur hier einen Exploit gefunden, der etwas ähnliches macht und für eine alte WordPress MU Version funktioniert:
      http://www.milw0rm.com/exploits/5066

  13. […] Infos dazu gibt es im mal wieder erstklassig reagierenden WordPress-Forum und bei Sebbi, dem ich für das Teilen seines Know-Hows insbesondere dankbar […]

  14. Avatar von Manuel Wolff

    Boah, das klingt ja heftig die Story. Leider verstehe ich nur Latein ;-)

    Wo finde ich die Webmastertools, um zu checken, ob das bei mir auch so ist?

    1. Avatar von Sebbi

      Also spontan würde ich jetzt sagen in dem man bei Google nach „Webmastertools“ sucht ;)

  15. […] man erkennen kann, gab im Februar einen großen Einknick. Der Grund war ein Hack auf meine WordPressinstallation und einige hundert Spamlinks, die so unsichtbar in meinem Footer gelandet sind. Mein Blog wurde […]

  16. Avatar von Mike
    Mike

    Hast du den Blog schon mal durch den Scanner von http://www.hackalarm24.com durchgejagd? Im übrigen würde ich auch mal kurz bei den Jungs nachfragen. Könnte ja sein, dass die das Problem schon kennen und bereits eine Lösung haben. Als mein xt-commerce-Shop gehackt wurde, haben die mir sehr geholfen.

  17. […] Zeit zu Zeit liest man immer mal wieder, dass dieses oder jenes (WordPress) Blog “gehackt” und von Fremden für eigene Zwecke missbraucht wurde. […]

  18. […] habe ich mich so gut wie gar nicht mehr um die Einnahmen gekümmert und das sieht man auch. Nachdem im Februar mein Blog gehackt wurde und ich wegen der vielen Spamlinks praktisch aus Google rausgeflogen bin, hatte ich einfach keine […]