Gestern gegen Nachmittag muss es passiert sein: svenkubiak.de wurde defaced. Bis in die späten Abendstunden schmückte daraufhin eine sehr mäßige indonesische Seite meine Domain. Schuld an dem Ganzen war das bekannte Bildergalerie Plugin “myGallery” bzw. ich, den das Plugin wurde seit der Installation nicht einzig mal von mir geupdated, so dass noch die Version 1.2 lief (aktuell: 1.4b10). Der Angreifer nutze eine Schwachstelle in der Datei mygallerybrowser.php um Code nachzuladen und das Defacement durchzuführen. Darüberhinaus wurde mein Blog gestern mit Anfrage an das Script regelrecht bombardiert. Es war also nur eine Frage der Zeit, bis jemand durch kommt. Ich empfehle deshalb sehr dringend jedem Nutzer von myGallery regelmäßig ein Update auf die aktuelle Version durchzuführen.
Ein größerer Schaden scheint nach einer ersten Analyse nicht entstanden zu sein. Die Datenbank sieht gut aus und verdächtige Dateien konnte ich nicht entdecken. Ich habe mich dennoch dazu entschlossen myGallery nicht weiter zu benutzten. Zum einen ist die aktuellste Version noch im Beta-Stadium und nach dem Update funktionierte das Plugin mehr schlecht als recht. Letzteres wird vermudlich am großen Versionssprung liegen.
Bei meinen Recherchen bin ich auf die Seite BlogSecurity gestoßen, auf der es, neben einer aktuellen Liste mit WordPress/Plugin Schwachstellen, auch einen WordPress Vulnerability Scanner gibt, mit dem man Schwachstellen im Blog auswerten kann.
Übrigens, selbst populäre Seiten wie Spreeblick wurden bereits defaced. Von daher war ich gestern eher amüsiert als verärgert. Allerdings war mir dies auch eine Warnung, mit dem Update meiner Plugins genauso sorgsam umzugehen, wie ich es mit allen anderen Updates auch mache.
[UPDATE]
Wie ich bereits in dem Kommentaren angemerkt habe, halte ich myGallery nach wie vor für ein sehr geniales Plugin. Die Entscheidung das Plugin nicht mehr zu benutzten beruht primär auf fehlender Zeit (ein Update schien nicht so einfach möglich) und hat in erster Linie nichts mit der beschriebenen Schwachstelle zu tun. Ich gehe davon aus, dass das Plugin bei entsprechend Bugs regelmäßig aktualisiert wird (siehe ebenfalls Kommentare).
[2. UPDATE]
Sollte es mal zu einem Angriff kommen, empfehle ich alle Dateien auf dem Webspace mit einem Virenscanner zu scannen und nach verdächtigen Dateien zu suchen. Fast durch Zufall habe ich gerade eine Shell-Backdoor gefunden. Wer auf Nummer sicher gehen will, löscht seinen Webspace komplett und installiert WordPress neu. Eine Änderung aller relevanten Passwörter ist obligatorisch.
Tja, was soll ich dazu sagen? Ab und an ist es schon ganz hilfreich, wenn man prüft, ob es eine neue Version gibt. In der deutschen Comunity wurde schon vor Monaten über die Sicherheitslücke berichte, worauf hin von mir zeitnah eine neue, sichere Version rausgebracht wurde.
[Kommentar ID #260 wird hier zitiert]
Nicht das ich falsch verstanden werde, ich halte myGallery nach wie vor für ein sehr geniales Plugin. Und das mit dem fehlende Update war natürlich mein Fehler, keine Frage. Aber ich glaube, ich habe den Neu-Konfigurations-Aufwand gescheut.
Schade das ich diese Nachricht lesen musste, aber man kann ja froh sein das es bloß dabei geblieben ist. Schlimmer wäre es wohl wenn man die DB hätte wegschmeißen können und das letzte Backup ne ganze Weile her wäre…vorallem für Blogger die damit etwas dazu verdienen. Nichts destro trotz ist dies vllt. für den ein oder anderen ein Weckruf immer die aktuellste Version zu benutzen. Jedoch, wer denkt da schon jede Woche dran, dies zu prüfen ohne das man irgendwo eine Nachricht drüber liest? Deswegen ist BlogSecurity.org ein Schritt in die richtige Richtung, bei diesen kann man schnell mal Überprüfung kann ob es für seine Plugins eine Schwachstelle gibt, trotzdem muss im Bereich Wordpress und allen 3rd Party Code noch viel gemacht werden. Deswegen immer mal wieder BlogSecurity besuchen und mal sehen was wir da noch alles rausbringen.
MfG Philipp Heinze
Ohje, klingt ja ganz schön heftig, wenngleich man am Ende schlauer und wieder etwas beruhigt ist.
Danke für den Hinweis mit der Blogsecuritiy-Seite, das werde ich gleich ausführlich testen (denn Hacker dürften genauso oder zumindest ähnlich vorgehen). Und da Hacker solche Tools sowieso haben, denke ich, dass es in Summe ein Sicherheitsgewinn ist, wenn diese Tools öffentlich sind.