Besuch vom WordPress Hacker

Wie ich bereits erwähnt habe, gehört Limit Login Attempts zu meinen Standardplugins bei einer WordPress Installation. Da ich auch hier immer wieder E-Mails bekomme das eine IP gesperrt wurde weil ein Login versuch mehrfach fehlgeschlagen ist kam bei mir die Frage auf: Was passiert eigentlich wenn der Login erfolgreich geknackt wird?

Also habe ich auf einem freien Webspace mit einer ungenutzten Domain ein WordPress installiert, dort die hochgeheimen Logindaten „admin/admin“ hinterlegt, und Limit Login Attempts ein wenig umgeschrieben, es sollte mich nun mehr nicht bei fehlerhaften Logins benachrichtigen, sondern bei erfolgreichen Logins. Darüber hinaus habe ich dem Plugin noch beigebracht mich zu benachrichtigen falls Themes oder Plugins installiert werden.

Gestartet habe ich das Experiment am 18.06.2014, heute am 19.07.2014 habe ich endlich die ersehnte E-Mail bekommen das sich jemand in mein WordPress eingeloggt hat. Die IP-Adresse meines Hackers kommt aus Russland, von daher liegt nahe das die Seite wirklich durch ein Bot Netzwerk gehackt wurde.

Die spannende Frage: Was ist passiert?

Die Antwort: Nichts

Wirklich nichts? Naja, nichts was sich auf den ersten Blick ersichtlich ist. Wahrscheinlich wurde nur eine Benachrichtigung an den Betreiber des Botnetzwerks abgesetzt das ein Login geglückt ist. Offensichtlich hat zumindest das Botnetzwerk was sich bei mir Zugang verschafft hat keinen Automatismus um Schadcode zu platzieren.

7 Comments

  1. Hallo,
    der Artikel ist zwar schon ziemlich alt, aber das Problem ist noch aktuell. Wir haben seit ein paar Tagen eine WordPress-Seite online, und schon am zweiten Tag musste ich mich nach einem Plugin umsehen, das mich von den automatisierten Login-Versuchen abschirmt (WP Cerber, im übrigen). Seit drei Tagen sind nun mehr als 200 Versuche protokolliert worden, sich mit den Standard-Credentials an unserer Seite als Admin anzumelden. Die IP-Adressen der Quellen kommen zu 95% aus Russland. Darüberhinaus noch aus Weißrussland, der Ukraine, Indonesien, Thailand und Indien. Ich komme kaum hinterher, die betreffenden Subnetze der Angreifer auf meine Schwarze Liste mit blockierten IPs zu setzen.

    Interessant ist übrigens die Tatsache, dass außer dem Domainnamen und „admin“ und „administrator“ auch die Namen von anderen Domains, die auf mich registriert sind, als Usernamen für den Login probiert wurden. Es scheint also so zu sein, dass die Bots in den NIC-Verzeichnissen nachsehen, wer der Besitzer der Domain ist und sich dann noch die anderen Domains raussuchen, die auf denselben Namen registriert sind. Wusste gar nicht, dass so eine umgekehrte Suche funktioniert.

    Darum wollte ich mich mal erkundigen, ob das Experiment noch weiterging und ob aus den Botnets nicht doch noch ein Versuch kam, irgendeine Schweinerei mit der geknackten WordPress-Seite anzustellen. Am wahrscheinlichsten dafür halte ich Erpresssung durch Aussperren aus der eigenen Seite und Forderung eines Lösegelds, oder eben Spamversand.

    Viele Grüße
    Sascha

  2. Hallo Sascha,

    der letzte Teil meines Experiments war http://christoph-daum.de/der-wordpress-hacker-war-erfolgreich-1379/, danach habe ich das Thema nicht weiter verfolgt. Danach wusste ich ja was die Intention dieses Angriffs war. Ein Versuch über WordPress und damit über PHP den Server zu kapern, und mit dem gekaperten Server würden dann mit Sicherheit Spam Mails versendet oder andere lustige Sachen gemacht.

    Auf meinen aktiven Seiten habe ich meist eine simple .htaccess Passwortabfrage vor die wp-login.php geschaltet.


    <Files wp-login.php>
    AuthName "Login"
    AuthType Basic
    AuthUserFile /path/to/.htpasswd
    require valid-user
    </Files>

    Die Zugangsdaten in der htpasswd können an der Stelle total banal sein, sie dienen ja ausschließlich dazu 08/15 Bots vom Zugriff auf die Loginmaske abzuhalten. Also selbst sowas wie Username „Schnitzel“ und Passwort „MitPommes“ wäre in Ordnung. Denn das eigentliche Passwort kommt ja erst wenn man diese erste Hürde übersprungen hat.

    Dahinter nutze ich dann noch ein Plugin was mich gegen Brute Force Angriffe absichert.

    Und ganz wichtig sind sowieso Updates und andere Sicherheitsmaßnahmen. In einem Talk von 2014 hat ein WordPress Sicherheitsexperte gesagt das ca 33% aller Angriffe über den Login kommen, das heißt um Umkehrschluss aber auch, das 66% andere Tore nutzen um WordPress zu attackieren.

    Hier der oben genannte Talk
    https://2014.europe.wordcamp.org/video-tony-perez-wordpress-security-it-starts-with-posture-wceu-2014/

  3. Hallo Christoph,

    vielen Dank für die ausfürlichen Antwort und für die Tipps, mit der zusätzlichen Passwortabsicherung. Das probiere ich gleich mal aus.

    Viele Grüße aus Andalusien,
    Sascha

  4. Hallo Christoph,

    ich hatte nach „WordPress Hacker Russland“ gesucht und bin dadurch auf diesen Blog-Eintrag gestoßen. Erst nachdem ich den Kommentar abgeschickt hatte, habe ich dann über die Startseite Deines Blogs die anderen Artikel gesehen. Die zwei Links oben, zwischen Text und Kommentaren, funktionieren nicht mehr.

    Viele Grüße aus Andalusien
    Sascha

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.