Skip to content

Mein Blog wurde gehackt.

Gerade meldete mir mein Provider, dass mein Blog massiv SPAM über Skripte verschickt. Er meldete Skripte im Ordner htmlarea/plugins/ImageManager/demo_images als verdächtig.

Er hat recht! Dieser Ordner ist neuer, als meine Bloginstallation und neuer als alle anderen Ordner im htmlarea Verzeichnis. Ebenso das Verzeichnis htmlarea/plugins/ExtendedFileManager/demo_images. Dieser Hack ist offenbar genau der Grund, warum die Version 1.5.5 von Serendipity veröffentlicht wurde. Ich war bisher noch zu faul, das Update durchzuführen.

Aber die genannte Seite beschreibt auch, wie man den Hack los wird, ohne gleich die ganze Blog Software erneuern zu müssen. Da htmlarea in den meisten Fällen (so auch bei mir) gar nicht benutzt wird, kann man es sich auch einfach machen und das komplette htmlarea Verzeichnis aus dem Blogverzeichnis entfernen. Dieses habe ich nun getan.

Interessant ist übrigens, wenn man nach den Schlagwörtern htmlarea und demo_images sucht. Die Beschreibung des Hacks kommt erst sehr spät, zuerst werden offenbar erst mal Index Dateien von lauter infizierten Webseiten gelistet, die htmlarea benutzen und auch ein demo_images Verzeichnis haben (das über den Hack offenbar angelegt wird).

Also: Dringend Blog Software updaten, oder wenigstens das htmlarea Verzeichnis (oder die in der verlinkten Beschreibung genannten Dateien) löschen.

Update: Zusätzlich sollte das FTP und das SQL Passwort geändert werden. Beim FTP Passwort bin ich mir nicht sicher, ob das notwendig ist (ich habe es trotzdem getan), aber das SQL Passwort ist wichtig! Da der Hack offenbar eigene Skripte ausführen kann, ist es ihm ein leichtes, das SQL Passwort auszulesen, denn dieses steht im Klartext in der serendipity_config_local.inc.php. Also SQL Passwort ändern und dann (nach Löschen des Hacks natürlich) das neue Passwort in die genannte Datei eintragen. Danach läuft das Blog wieder.

Update 2: Zusätzlich wurden bei mir noch Dateien hinterlegt, die so eine Art "Ich war hier" Seite der Hacker ist.:

  • kocan.html 
  • i256263689_77154_2.gif
  • i256263689_77154_2.serendipityThumb.gif

Sie befinden sich in meinem Hauptverzeichnis sowie in meinem Uploads Verzeichnis (das Verzeichnis für meine Bilder). Ein befallenes Blog sollte auch nach diesen untersucht und von ihnen befreit werden.

 

Blogs auf AllInkl mit Problemen

Mein auf all-inkl gehostetes Blog ging gerade so gar nicht mehr. Dies ging nicht nur mir so. Offenbar durch einen Software Update des Providers waren alle Besitzrechte im Blogverzeichnis falsch gesetzt. Das zeigte sich zuerst dadurch, dass der Admin Bereich nicht mehr laden wollten, dann mit Problem beim schreiben in den Blog Cache und später dann auch beim Laden der Plugins, die fehlschlugen. Letzteres war bei mir relativ fatal, da hier ein Plugin den SPAM abwehrt. In kürzester Zeit, war mein Blog mit Trackback und Comment SPAM geflutet.

Der sonst so vorbildliche Support von all-inkl scheint leider gerade komplett ausgelastet zu sein, nicht mal auf meine Mail wird geantwortet. Aber man kann sich selbst helfen:

Lösung:

Dazu geht man in seinen KAS Server, dort ins Menü Tools -> Besitzrechte, trägt unter Verzeichnis das Verzeichnis des Blogs ein (bei mir /blog) und als User wählt man den PHP-User aus. Dann noch das rekursiv Häkchen anklicken und auf "Besitzrechte ändern" klicken. Nach relativ kurzer Zeit sollte das Blog wieder korrekt starten und auch der Admin Bereich ist wieder zugänglich.

Bei mir ist alles noch recht träge, aber ich vermute, das liegt daran, dass All-Inkl noch am reparieren ist.

P.S: Ganz vergessen - Falls jemand nach dieser Rechte Änderung immer noch Warnings bekommt (fopen usw), der sollte einfach mal den Inhalt von template_c löschen, und zwar komplett. Am besten, bevor ihr die Rechte auf PHP-User setzt, danach habt ihr evtl. Probleme, auf das Verzeichnis per FTP zuzugreifen. Dann einfach für das Verzeichnis noch mal zurück setzen, leeren und wieder auf PHP-User setzen.

Kleiner Server Umzug

Letzte Nacht war mein Blog eine längere Zeit nicht zu erreichen, beim Aufruf bekam man nur ein "Zugriff verweigert". Dafür erst einmal: Entschuldigung. Und woran lag es?

Ich hatte in letzter Zeit gehäuft beobachtet, dass mein Blog Schluckauf bekam. Es war dann kurze Zeit nicht erreichbar, der Zugriff auf die Datenbank schlug mal fehl und ähnliches. Ich meldete mich beim Support meines Providers All-Inkl, der wie gewohnt sofort reagierte: Er berichtete, dass auf meinem Server ein Kunde im Moment immer mal wieder erhebliche Last produzieren würde. Sie seien dem Problem auf der Spur, hätten den "Übeltäter" aber noch nicht klar identifiziert. Sie könnten mir aber anbieten, meine Sites auf einen anderen Server umziehen zu lassen, kostenlos natürlich. Dabei fragten sie mich auch gleich, ob ich irgendwelche Wünsche an eine PHP/MySQL Version habe.

"Kleiner Server Umzug" vollständig lesen
tweetbackcheck