Glorf.it

Glorf IT

Bedenkliches aus dem IT-Alltag

4. Januar 2007 um 23:26

ShellExtensions

Da ich Dienstag in der Firma einen neuen Rechner (immer noch mit Windows XP) bekam, war ich bis heute fleißig beschäftigt, um alle benötigten Programme zu installieren. Natürlich "nebenläufig", denn mit zwei Rechnern kann man ja prima "multi-tasken". Jede Menge "altes Zeug" ™ habe ich dabei auch gleich weggelassen. Aber nach ein paar lieb gewonnenen Werkzeugen musste ich erst wieder lange suchen. Zum Beispiel nach den ShellExtensions von Synesis (frei einsetzbar). Es bietet für mich ein ganzes Bündel an nützlichen Erweiterungen des Kontext-Menüs des Explorers. Meine Favoriten:

  • ReadOnly-Flag im Kontext-Menü setzen/entfernen
  • Pfad einer Datei ins Clipboard kopieren (als UNC/in 8.3/…)
  • DosBox im angegebenen Verzeichnis öffnen (gibt auch in den PowerToys von MS)
  • ausgewähltes Programm mit Parametern starten (die beim Start erfragt werden)
  • Touch (Dateidatum setzen)

Die kann ich wirklich sehr empfehlen. Irgendwann vergisst man, dass sie nicht schon immer da waren…

4. Januar 2007 um 23:13

WordPress: Angriff auf Mail-Service

Neben dem gerade erwähnten Angriff über getarnte Anführungszeichen habe ich noch einen anderen Typus entdeckt:

Es wird versucht Spams über die Mail-Benachrichtigung "E-Mail Notification" in WordPress zu verschicken.

Anders als im anderen Fall, sind es hier aber immer andere IP-Adressen. Hier zum Beispiel die Liste der IP-Adressen vom 2.1.2007:

  • 165.228.132.11 – Australien (Telstra Internet)
  • 201.245.175.173 – Columnbien (UNIVERSIDAD DE PAMPLONA)
  • 212.138.64.175 – Saudi Arabien (Saudi Network Information Center)
  • 212.85.201.250 – Ghana (Africa Online Ghana Ltd)
  • 219.250.50.116 – Korea (Hanaro Telecom)
  • 59.144.163.244 – Indien (BTNL Delhi)
  • 62.150.35.230 – Kuweit (QualityNet)
  • 81.169.162.53 – Berlin (Strato Rechenzentrum)

Wegen der Ähnlichkeiten der Angriffe könnte es gut sein, dass hier jemand einfach auf den obigen Rechnern eine Backdoor eingeschleust hat, die er ausnutzt.
Gerade die letzte Adresse stützt diese These. Bei den Zugriffen wurden verschiedenste Adressen ausprobiert, um den Speicherort des WordPress-PlugIns zu finden. Offenbar gab es da auch mal ein paar Treffer bei mir, die ich schon mal erwähnte. Damals habe ich das Plugin einfach entfernt, daher bringen die Versuche bei mir nichts…

Einige identifizieren sich übrigens als "PycURL/7.15.5", andere geben sich als "Opera 9.0" aus. Oder kann man Opera so automatisieren, dass es massenweise POSTs abschickt, Tobbi?

Beispiel 1:
81.169.162.53 - - [02/Jan/2007:20:42:29 +0100] "POST /maillist/index.php HTTP/1.0" 404 27027 "http://www.glorf.it/blog/" "Opera/9.0 (Windows NT 5.1; U; en)"

Beispiel 2:
219.250.50.116 - - [02/Jan/2007:11:11:19 +0100] "POST /blog/category/allgemein/maillist/index.php HTTP/1.1" 404 26348 "http://www.glorf.it/" "PycURL/7.15.5"

Da hier nichts zu holen ist, sehe ich keinen Anlass zu Gegenmaßnahmen. Das WordPress-PlugIn scheint ja jedenfalls ein lohnendens Ziel zu sein…

4. Januar 2007 um 22:51

WordPress: Attacke mit Anführungszeichen

Aufgrund des Postings "WordPress: Attacken wegen aktivierter Permalinks" im Software-Guide-Blog habe ich ebenfalls das dort erwähnte 404-Plugin für WordPress installiert. Es hat zwar seine Schwächen, aber dennoch bin ich dankbar. Denn auch bei mir förderte es heftige Angriffe auf meine Webseite zu Tage. Und ich hatte mich schon über die plötzliche Beliebtheit meiner Seite gefreut… 😉

Beispielsweise gab es alleine über 300 "Zugriffe" (oder sollte ich Angriffe sagen?) von der IP-Adresse "202.179.183.28". Die Analyse des Problems konnte leider nicht mit dem Plugin durchgeführt werden. Dazu habe ich ganz einfach die Log-Files ausgewertet.

Dabei habe ich mehrere Typen von Angriffen identifiziert. Hier beschreibe ich mal den ersten Typus.

Es kamen unheimlich viele Zugriffe der Art (von nur wenigen IP-Adressen, aber über den ganzen Tag verteilt – vermutlich damit es nicht auffällt):

/blog/2006/10/28/sql-talk/%22%22
/blog/2006/07/25/webtech/%22%22
/blog/2006/07/08/entspannung/%22%22
/blog/2006/08/10/webtech/%22%22
/blog/2006/09/06/sql-talk/%22%22
/blog/2006/07/18/allgemein/%22%22
/blog/2006/08/08/allgemein/%22%22
/blog/2006/08/08/sql-talk/%22%22

Am 2.1.2007 von:
202.179.183.28 – Korea (NHN)

und am 3.1.2007 von:
222.122.195.251 – Korea (Korea Telecom)
202.179.183.28 – Korea (NHN)

Leider sieht man in den Logfiles nicht das komplette abgeschickte Kommando, deswegen weiß ich nicht, was genau dahinter steckt. Ich schaffte es auch nicht aus Google etwas Nützliches rauszukitzeln. Wenn man aber weiß, dass ASCII 22 (Hex 22) einfach nur das doppelte Anführungszeichen (") ist, dann kann man sich denken, wie der Anfragestring weiterging… Gar nicht so dumm.

Wenn man dem Empfänger mit dem Anführungszeichen erst mal Glauben gemacht hat, dass die URL zu Ende war, dann kann man ihm danach unter Umständen noch ein paar Gemeinheiten unterjubeln. Man kann beispielsweise versuchen eine Lücke auszunutzen, z.B. einen Buffer-Overflow. Hat WordPress einen Bug in der Richtung? Das man nicht einfach nach "%22%22" suchen kann, erschwert die Nachforschungen erheblich.

Was tun?

Dem Vorschlag von Michael folgend, habe ich jetzt mal meine .htaccess-Datei erweitert:

RewriteEngine On
RewriteRule \"\" – [F,NE]

Ich hoffe, dass ist hinreichend entmutigend für die Eindringlinge. Die Analyse hat zwar Spaß gemacht, aber eigentlich wollte ich heute Abend andere Dinge posten…

|