Der Pharma-Hack und einige Hinweise zur WordPress-Sicherheit

Open Mind Blog mit Pharma-Hack

Falls Sie mein Blog über einen RSS-Reader verfolgen oder in der Google-Trefferliste gefunden haben, dann haben Sie sich vielleicht über die penetrante Pharmazeutika-Werbung gewundert. Seien Sie versichert: Ich habe keinen Rappen damit verdient und sie auch nicht selbst aufgeschaltet; vielmehr ist das Open Mind Blog Opfer des sogenannten Pharma-Hacks geworden.

Das Perfide daran: Die Verunstaltungen des Blogs waren für den normalen Besucher (und damit auch für mich selbst) nicht sichtbar. Wurde die Seite von einem normalen Browser angefordert, dann lieferte WordPress die unversehrte Seite aus; nur dem Googlebot wurde die infizierte Version angezeigt. Leider erreichten mich auch die Warnungen meiner Leser nicht, die mich per Kommentarformular darauf hinwiesen, dass in meinen Artikeln Wörter wie “Prozac”, “Ventolin”, “Lithium” und “Viagra” vorkommen – denn hier schlug natürlich Akismet (der Kommentar-Spam-Filter von WordPress) zu. Erst durch Beschwerden per E-Mail wurde ich auf das Problem aufmerksam – und selbst dann dauerte es noch einige Zeit, bis ich es beheben konnte. Was ich bei dieser Gelegenheit gelernt habe, möchte ich Ihnen nicht vorenthalten.

Exploit Scanner

Wie ich den Pharma-Hack eingefangen habe, kann ich nicht nachvollziehen. Da ich den WordPress-Core laufend auf den neusten Stand bringe (Sicherheitsregel Nummer 1), war wahrscheinlich ein Plug-in oder ein Theme die Schwachstelle, wo der Hacker angreifen konnte. In diesem Zusammenhang habe ich einen ausführlichen Artikel gefunden, der eindrücklich die Gefahr von versuchten Gratis-Themes aufzeigt: Why You Should Never Search For Free WordPress Themes in Google or Anywhere Else. Über diesen Artikel bin ich auch auf zwei WordPress-Plugins gestossen, welche mir letztlich den entscheidenden Hinweis auf den Pharma-Hack gaben: Theme Authentity Checker (TAC) und Exploit Scanner.

Die notwendigen Informationen zur Entfernung des Schadcodes verdanke ich schliesslich diesem Artikel: Understanding and cleaning the Pharma hack on WordPress. Ich hoffe, es hat gewirkt! Falls nicht, dann beschweren Sie sich mit Vorteil nicht über das Kommentarformular, sondern per E-Mail

TYPO3 Watchdog: Der Sicherheitsdienst für TYPO3-Websites

TYPO3 Watchdog

Es gibt viele Dinge, die man als TYPO3-Administrator beachten muss, wenn man seine TYPO3-Installation zuverlässig gegen Angreifer schützen will (vgl. TYPO3 Security Checklist: 47 Massnahmen, um eine TYPO3-Installation sicherer zu machen). Der Service TYPO3 Watchdog bietet hierbei Unterstützung, indem er TYPO3-Websites auf bekannte Probleme überprüft. Hierzu muss auf dem zu überwachenden System die Extension aba_watchdog installiert werden. Wenn man dieses System dann bei TYPO3 Watchdog registriert, erhält man eine ID zugewiesen, die man in die Extension-Konfiguration einträgt. Und schon liefert der Dienst Vorschläge für Massnahmen, um die Sicherheit zu verbessern – auf der Watchdog-Website sowie per E-Mail.

Das ist grundsätzlich ein interessantes Konzept, aber man darf nicht zu viel erwarten: Die Sicherheitsrisiken, die TYPO3 Watchdog derzeit erkennt, lassen sich leicht auch über das TYPO3-Backend finden. Derzeit prüft der Dienst vor allem Versionsnummern von Core und Extensions, ausserdem erkennt er ein nicht deaktiviertes Install Tool. Zu einer wirklich sicheren TYPO3-Installation gehört aber weit mehr als das.

Wer TYPO3 Watchdog nutzt muss sich ausserdem bewusst sein, dass er mit damit nicht nur Sicherheitsrisiken eliminiert, sondern auch neue schafft. Die Extension aba_watchdog öffnet eine Hintertüre zum System, die potentiell missbraucht werden kann. Auch die Website www.typo3watchdog.com ist ein attraktives Angriffsziel, denn wer sie knackt erhält Einblick in die Sicherheitslücken aller registrierten Websites.

Ich möchte mir kein abschliessendes Urteil über TYPO3 Watchdog erlauben, zumal der Dienst offenbar noch im Aufbau ist. Man würde sich aber in falscher Sicherheit wiegen, wenn man glauben würde, dass dies eine Patentlösung für alle Sicherheitsprobleme ist.

Nachtrag: Am 15. Dezember 2009 wurde bekannt, dass die Watchdog-Extension in der Version 2.0.2 eine Sicherheitslücke aufweist. Es wird ein Update auf die Version 2.0.3 empfohlen.

WordPress Scanner: Sicherheitslücken in WordPress-Blogs aufspüren

image

Der WordPress Scanner ist ein Tool, um Schwachstellen in einer WordPress-Installation zu finden und die notwendigen Gegenmassnahmen zu ergreifen. Der Scanner läuft auf BlogSecurity.net und kann per URL auf das eigene Blog geschickt werden. Das Resultat ist ein übersichtlicher Report, der Sicherheitslücken auflistet und Ratschläge für deren Behebung enthält.

Damit der Scanner nicht zum Ausspähen von Angriffspunkten auf fremden Blogs missbraucht wird, muss der Scanner über das Tag <!– wpscanner –> explizit zugelassen werden. Dies kann man manuell direkt im Template tun oder über das Plug-In “wp-scanner activator”, das man ebenfalls bei BlogSecurity.net herunterladen kann.

Sicherheitslösungen auf Open-Source-Basis

Macht es Sinn, für sicherheitskritische Anwendungen auf Open Source Software zurückzugreifen? Ja, meint das Network Security Journal:

“Open source security is like a military general who shows his plans to both his allies and his enemies. On the one hand, his enemies can try to exploit the plan by targeting its weaknesses. But on the other hand, by exposing his tactics to those who want to help, the plan is ultimately much stronger as a result of their feedback and modifications.”

Der Artikel The Open Source Security Mother Lode: 105 Tools, Applications and Resources bietet eine kompakte Übersicht über die wichtigsten Programme, sortiert nach den folgenden Kategorien:

  • E-Mail
  • Virenschutz
  • Web-Utilities
  • Firewalls
  • Netzwerk-Monitoring
  • Intrusion Detection
  • VPN
  • Wireless Networks
  • Verschlüsselung