Neben dem gerade erwähnten Angriff über getarnte Anführungszeichen habe ich noch einen anderen Typus entdeckt:
Es wird versucht Spams über die Mail-Benachrichtigung "E-Mail Notification" in WordPress zu verschicken.
Anders als im anderen Fall, sind es hier aber immer andere IP-Adressen. Hier zum Beispiel die Liste der IP-Adressen vom 2.1.2007:
- 165.228.132.11 – Australien (Telstra Internet)
- 201.245.175.173 – Columnbien (UNIVERSIDAD DE PAMPLONA)
- 212.138.64.175 – Saudi Arabien (Saudi Network Information Center)
- 212.85.201.250 – Ghana (Africa Online Ghana Ltd)
- 219.250.50.116 – Korea (Hanaro Telecom)
- 59.144.163.244 – Indien (BTNL Delhi)
- 62.150.35.230 – Kuweit (QualityNet)
- 81.169.162.53 – Berlin (Strato Rechenzentrum)
Wegen der Ähnlichkeiten der Angriffe könnte es gut sein, dass hier jemand einfach auf den obigen Rechnern eine Backdoor eingeschleust hat, die er ausnutzt.
Gerade die letzte Adresse stützt diese These. Bei den Zugriffen wurden verschiedenste Adressen ausprobiert, um den Speicherort des WordPress-PlugIns zu finden. Offenbar gab es da auch mal ein paar Treffer bei mir, die ich schon mal erwähnte. Damals habe ich das Plugin einfach entfernt, daher bringen die Versuche bei mir nichts…
Einige identifizieren sich übrigens als "PycURL/7.15.5", andere geben sich als "Opera 9.0" aus. Oder kann man Opera so automatisieren, dass es massenweise POSTs abschickt, Tobbi?
Beispiel 1:
81.169.162.53 - - [02/Jan/2007:20:42:29 +0100] "POST /maillist/index.php HTTP/1.0" 404 27027 "http://www.glorf.it/blog/" "Opera/9.0 (Windows NT 5.1; U; en)"
Beispiel 2:
219.250.50.116 - - [02/Jan/2007:11:11:19 +0100] "POST /blog/category/allgemein/maillist/index.php HTTP/1.1" 404 26348 "http://www.glorf.it/" "PycURL/7.15.5"
Da hier nichts zu holen ist, sehe ich keinen Anlass zu Gegenmaßnahmen. Das WordPress-PlugIn scheint ja jedenfalls ein lohnendens Ziel zu sein…