Der WordPress Hacker war erfolgreich

Dies ist Teil 3 meines Experiments, für Teil 1 und Teil 2 bitte den Links folgen.

Letzte Woche war es so weit, mein Honeypot wurde erfolgreich gehackt. Ich erhielt zunächst eine E-Mail von meinem Plugin das der Login erfolgreich ausgespäht wurde, wenige Momente später erhielt ich eine weitere E-Mail von der Abuse Abteilung von 1&1 wo mein Testwebspace liegt.

 

Eine E-Mail die mich mehr als nur Überrascht hat, ich bin kein Fan von 1&1, gerade der Kundenservice ist in meinen Augen eine Katastrophe, aber das ist eine absolut positive Überraschung. An der Stelle kann ich nur sagen: Chapeau 1&1, bis auf den Tippfehler das WordPress mit großem P geschrieben wird absolut vorbildlich.

Was ist denn jetzt passiert?

Beim Hacking Angriff wurde mein Plugin, das mich über die Login versuche Informieren sollte und auch das Einzige Plugin war umgeschrieben. Es wurde wenig feingefühl gezeigt, der komplette Inhalt der Datei wurde einfach überschrieben.

Bildschirmfoto 2014-08-09 um 08.50.22

Alles in allem kein ganz unerwarteter Anblick da ich bereits mehrfach gehackte Dateien vor mir hatte, aber trotzdem mal wieder etwas neues. Wer an dieser Stelle einfach nur nach eval() sucht um gehackte Dateien zu finden ist auf dem Holzweg, dieser Hacker hat einen anderen Weg gefunden um seine Taten zu verschleiern. Er setzt sinngemäß folgendes ein: preg_replace("/.*/e",$schadcode,"."); und das macht im Endeffekt das selbe wie eval() . Das Flag /e ist zwar mittlerweile als deprecated markiert, aber es funktioniert immer noch, und sorgt dafür das alles was in der Variablen $schadcode $schadcode hinterlegt ist, als PHP Code ausgeführt wird.

Auf die Frage was dieses „nette“ Tool macht gibt folgende Antwort. Den Quelltext des Codes werde ich aus verständlichen Gründen nicht komplett hier online stellen. Jedoch kann ich hier einmal zeigen was die Ausgabe des Codes zurückliefert. Im Detail werde ich den Text noch etwas weiter analysieren und darüber noch weitere Artikel schreiben und gucken in wieweit man hier jetzt noch mal ansetzen kann um das Experiment weiterzuführen.

hackingtool

Zusammengefasst fragt der Hacker hier alles PHP mögliche ab und stellt es in einer Datei zusammen, angefangen bei den Daten über Betriebssystem, Festplatte sowie deren Auslastung bis hin zur Host Datei. Außerdem noch diverse Tools um Dateien zu erstellen, auszuführen, hochzuladen etc.

Man kann also ziemlich sicher davon ausgehen, dieses Tool ist nicht mehr für Bots gedacht, dieses Tool wird von Menschen aufgerufen.

 

2 Comments

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.