Skip to content

Mein Blog wurde gehackt.

Gerade meldete mir mein Provider, dass mein Blog massiv SPAM über Skripte verschickt. Er meldete Skripte im Ordner htmlarea/plugins/ImageManager/demo_images als verdächtig.

Er hat recht! Dieser Ordner ist neuer, als meine Bloginstallation und neuer als alle anderen Ordner im htmlarea Verzeichnis. Ebenso das Verzeichnis htmlarea/plugins/ExtendedFileManager/demo_images. Dieser Hack ist offenbar genau der Grund, warum die Version 1.5.5 von Serendipity veröffentlicht wurde. Ich war bisher noch zu faul, das Update durchzuführen.

Aber die genannte Seite beschreibt auch, wie man den Hack los wird, ohne gleich die ganze Blog Software erneuern zu müssen. Da htmlarea in den meisten Fällen (so auch bei mir) gar nicht benutzt wird, kann man es sich auch einfach machen und das komplette htmlarea Verzeichnis aus dem Blogverzeichnis entfernen. Dieses habe ich nun getan.

Interessant ist übrigens, wenn man nach den Schlagwörtern htmlarea und demo_images sucht. Die Beschreibung des Hacks kommt erst sehr spät, zuerst werden offenbar erst mal Index Dateien von lauter infizierten Webseiten gelistet, die htmlarea benutzen und auch ein demo_images Verzeichnis haben (das über den Hack offenbar angelegt wird).

Also: Dringend Blog Software updaten, oder wenigstens das htmlarea Verzeichnis (oder die in der verlinkten Beschreibung genannten Dateien) löschen.

Update: Zusätzlich sollte das FTP und das SQL Passwort geändert werden. Beim FTP Passwort bin ich mir nicht sicher, ob das notwendig ist (ich habe es trotzdem getan), aber das SQL Passwort ist wichtig! Da der Hack offenbar eigene Skripte ausführen kann, ist es ihm ein leichtes, das SQL Passwort auszulesen, denn dieses steht im Klartext in der serendipity_config_local.inc.php. Also SQL Passwort ändern und dann (nach Löschen des Hacks natürlich) das neue Passwort in die genannte Datei eintragen. Danach läuft das Blog wieder.

Update 2: Zusätzlich wurden bei mir noch Dateien hinterlegt, die so eine Art "Ich war hier" Seite der Hacker ist.:

  • kocan.html 
  • i256263689_77154_2.gif
  • i256263689_77154_2.serendipityThumb.gif

Sie befinden sich in meinem Hauptverzeichnis sowie in meinem Uploads Verzeichnis (das Verzeichnis für meine Bilder). Ein befallenes Blog sollte auch nach diesen untersucht und von ihnen befreit werden.

 

Trackbacks

www.miradlo.net

www.miradlo.net am : s9y Sicherheitsupdate oder schnelle Lösungmiradlo bloggt  

"s9y Sicherheitsupdate oder schnelle Lösungmiradlo bloggt   " vollständig lesen
Donnerstag, den 30.12.2010 Du bist hier: miradlo bloggt   | blog | s9y Sicherheitsupdate oder schnelle Lösung Kategorien blog css krimskrams Linux miradlo projekte software tipps web WordPress …z[..]
u1amo01

u1amo01 am : Wie schon geschrieben: dringend auf s9y-Version 1.5.5 updaten!

"Wie schon geschrieben: dringend auf s9y-Version 1.5.5 updaten! " vollständig lesen
Kurz vor Weihnachten schreib Garvin im s9y-Blog, dass alle Anwender aus Sicherheitsgründen sofort auf Version 1.5.5 updaten sollten (siehe auch meine Notiz). Grischa hat sich damit ein bischen zu lange Zeit gelassen und prompt haben ihn die bösen Jun
Grischa

Grischa am : Das neue S9Y Template: 2k11

"Das neue S9Y Template: 2k11" vollständig lesen
Ich bin schon länger ein Fan der Weboberflächen von Matthias Mees. Seine Templates sind meistens eher schlicht gehalten, dadurch aber immer klar strukturiert und schön anzusehen. In letzter Zeit habe ich bei ihm beobachtet, dass er sehr vie

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Reinhard

Reinhard am :

Wofür ist eigentlich die htmlarea da? Kann man Sie unbedenklich erst einmal umbenennen? Ich betreue einen Server mit vielen S9s und das Verzeichnis demo_images existiert ja anscheinen immer. Wenn alle Verzeichnisse umbennen würde wäre ja erst einmal Ruhe oder?

Bobby Browning

Bobby Browning am :

wie konnte das denn passieren ?

haste dir einen virus oder nen key tracker eingefangen

Crowley

Crowley am :

Mein (Wordpress) Blog wurde auch gerade erst gehackt. Das schlimme ist, dass ich es lange nicht bemerkt habe. Erst als meine Besucherzahlen von mehreren hundert auf 0 (über Google) zurückgingen wurde ich misstrauisch. Tja, Spammer hatten mein Blog gehackt und so für Spam missbraucht, dass Google mich abgestraft hat. Und alles nur, weil ein Schadprogramm meine FTP Passwörter aus Filezilla ausgespäht hat. Speichere bloß nie deine Passwörter in Filezilla oder anderen Programm, die noch nichts von vernünftiger Verschlüsselung gehört haben. Ich bin einfach nur sauer auf diese sch... Spammer!

Dieter

Dieter am :

Dein Artikel hat mich jetzt aber schwer geschockt, da ich von einem sehr sicheren System jetzt auf S9Y umgestiegen bin und mal hoffe, das es nicht noch mehr derartige Sicherheitslücken gibt. Trotzdem gefällt mir S9Y immer noch sehr gut, auch wenn die Umstellung von GLFusion sehr gewöhnungsbedürftig ist.

Grischa

Grischa am :

Nun ja.. Das Problem ist ja nicht wirklich ein Sicherheitsproblem von S9Y sondern von der verwendeten (und mit ausgelieferten) Software HTML Area gewesen.

Dieses Problem haben einige Systeme gehabt, die HTML Area mit ausgeliefert haben.

Etwas blöd daran ist, dass das Sicherheitsproblem auch dann auftrat, wenn man HTML Area gar nicht benutzt (so wie ich..). Es musste nur einfach vorhanden sein.

Aber S9Y war eines der ersten Systeme (wenn nicht sogar *das* erste), dass dieses Problem erkannte, eine offizielle Meldung dazu raus brachte und sofort ein Update rein stellte.

Probleme kann es einfach immer geben. Entscheidend ist für mich, wie damit dann umgegangen wird, und da ist für mich S9Y einfach top! Auch wieder in diesem Fall.

Dass mir *trotzdem* was passierte lag an meiner eigenen Nachlässigkeit. Ich wurde informiert, dass es eine neue Version gibt, habe darauf aber nicht reagiert und nicht mal geschaut, warum es die gibt. So habe ich (nicht S9Y) das Problem verpennt.

wiyono

wiyono am :

Ooooo Schade...

Hast du backup gemacht?

Grischa

Grischa am :

So. Jetzt ist endlich die offizielle Version 1.6 von Serendipity aufgespielt. Damit ist das Problem (auch ohne Dateien löschen zu müssen) gelöst. :-)

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Dieses Blog erlaubt Dir, Audio Kommentare über audioboo.fm hinzuzufügen. Erstelle einen neuen Boo und gib hier den Link auf die Seite Deines Boos ein.
record
Wenn Du Deinen Twitter Namen eingibst wird Deine Timeline in Deinem Kommentar verlinkt.
Bewirb einen Deiner letzten Artikel
Dieses Blog erlaubt Dir mit Deinem Kommentar einen Deiner letzten Artikel zu bewerben. Bitte gib Deine Blog URL als Homepage ein, dann wird eine Auswahl erscheinen, in der Du einen Artikel auswählen kannst. (Javascript erforderlich)
(Bedingung: 1 Kommentare geschrieben)
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
tweetbackcheck