Support » Installation » Merkwürdige WordPress Version mit integrierten DB Daten

  • Gelöst torbenrei

    (@torbenrei)


    Moin!

    Ich habe heute eine sehr merkwürdige Erfahrung mit WordPress gemacht. Ich habe sicherlich schon hunderte Mal WordPress installiert, ich bin mir absolut sicher, die WordPress Files von hier (de.wordpress.org) heruntergeladen zu haben.

    Folgendes hatte sich abgespielt: Als ich alle Daten auf den Webspace hochgeladen habe, rief ich die entsprechende Domain auf und landete nach „Installation starten“ direkt bei der Eingabe des WordPress-Titels, Nutzerangaben usw.. Das ist mir zunächst auch gar nicht aufgefallen – es hatte auf jeden Fall alles geklappt und ich konnte mich auch einloggen usw.

    Nach ein paar Minuten fiel mir aber auf, dass ich gar keine DB_Daten eingegeben hatte und habe erst einmal an meinem Verstand gezweifelt. Weil ich mir das nicht erklären konnte, habe ich mir die Config-Datei heruntergeladen und gesehen, dass beim User und DB Namen jeweils „billing“ eingetragen war – beim DB Server war eine IP Adresse hinterlegt. Habe natürlich alles sofort heruntergenommen.

    Später fiel mir auch auf, dass der WP-Ordner mit den ganzen Dateien „wordpress 13.49.17“ benannt war, was ja auch eigentlich komisch ist, weil da eigentlich immer nur „wordpress“ steht.

    Hat da jemand eine Idee?

    Ich habe auch in meinem Browserverlauf extra nochmal nachgeguckt, auf welcher Seite ich die Dateien heruntergeladen habe, es war definitiv hier!

Ansicht von 15 Antworten - 1 bis 15 (von insgesamt 15)
  • Wenn du das nicht warst, war es vermutlich ein Prozess bei deinem Webhoster? Halte ich für die wahrscheinlichste Ursache.

    Was steht dort für eine IP? Und gehört diese zu deinem Hoster?

    Etwas unwahrscheinlicher:
    Es gibt nen bot, welche nach uninstallierten wordpress sucht und dann einfach selbst eins installiert um dann später boswillige Dinge zu tun

    Hört sich für mich wie eine unvollständige One-Click-Installation des Webhosters an. Der Support des Webhosters sollte mehr dazu sagen. Wenn nicht, alles platt machen und neu installieren. Soll ja angeblich nur fünf Minuten dauern. 😉

    Thread-Starter torbenrei

    (@torbenrei)

    Das ist definitiv nicht von meinem Hoster gewesen.. Die würden bei einer One-Click auch nicht so extrem softe Passwörter und User vergeben.

    Wie gesagt: Ich habe die Version hier heruntergeladen und anschließend auf meinem Webspace (Strato) hochgeladen und die Installation angestoßen. Die One-Click Installationen nutze ich nicht.

    Die IP-Adresse des DB Servers lautet 199.247.1.121.

    Okay, sieht dann doch sehr verdächtig nach einem Hack aus. Frage ist nur wann / wie das passiert ist.

    Hast du das Paket (ZIP oder ZIP-Inhalt) noch lokal auf deinem PC? Falls ja, müsste dort eine wp-config.php vorhanden sein.

    Wenn diese nicht vorhanden ist, muss der Hack während des Uploads oder direkt danach passiert sein -> benutzt du das selbe Tool zum hochladen wie sonst auch?

    Thread-Starter torbenrei

    (@torbenrei)

    Hey, da war keine wp-config enthalten. Der Ordner mit den WordPress Files war „wordpress 13.49.17“ benannt, was ich merkwürdig finde, da der ja eigentlich immer nur „wordpress“ heißt. Ich nutze File-Zilla.

    Die Domain wurde neu registriert. Vielleicht ist es wirklich so, dass sich jemand auf neu registrierte Domains stürzt und darauf warten, bis WordPress hochgeladen wurde und dort die externe DB einträgt? Dann wäre es doch so, wenn ich es aufrufe, wurde der erste Schritt (also alle DB Daten usw) gespeichert, die WP-Config generiert und man landet automatisch schon im zweiten Schritt, wo man den Titel und Nutzer eingeben muss?

    „Forensik“ (oder Ursachenforschung) zu betreiben ist nach einem Hack nicht nur aufwendig, sondern meistens auch ohne erhellende Informationen, die einem künftig weiterhelfen.

    Ich würde die Zugangsdaten zum Webhoster ändern, die vorhandene Datenbank und alle Dateien im Webspace löschen und von vorne anfangen.

    Häufig hinterlassen Angreifer so genannte Backdoors, um sich nach einer Reparatur der Website durch „ein Hintertürchen“ erneut Zugriff zu verschaffen. Da sich die Skripte meist hinter unauffälligen Dateinamen verbergen, hilft eigentlich nur, alles komplett zu löschen oder Dateien, die sonst unwiderbringlich wären, sehr sorgfältig durchzuschauen – ein aufwendiges (und für Kunden kostenintensives) Vorgehen.

    Vielleicht ist es wirklich so, dass sich jemand auf neu registrierte Domains stürzt und darauf warten, bis WordPress hochgeladen wurde und dort die externe DB einträgt?

    Das ist eher unwahrscheinlich. Hast du eine verschlüsselte FTP-Verbindung genutzt?

    Das gleiche ist mir eben auch passiert. Neue Domain geschaltet, WordPress heruntergeladen von https://wordpress.org/latest.tar.gz und beim Setup waren die Server Daten schon ausgefüllt und ich wurde nur noch nach Benutzername und Passwort gefragt.

    Ein Blick in die wp-config.php hat die gleiche DB Server IP Adresse zu tage gefördert: 199.247.1.121

    Ein Whois dieser IP Adresse führt zu einem WebHoster vultr.com und die unter der IP gehostete Seite ist eine Phishing-Kopie einer Deutschen Webseite. Ich habe einen entsprechenden Hinweis an den Hoster geschickt.

    • Diese Antwort wurde geändert vor 1 Monat, 2 Wochen von tobeyfox.
    • Diese Antwort wurde geändert vor 1 Monat, 2 Wochen von Angelika Reisiger.
    • Diese Antwort wurde geändert vor 1 Monat, 2 Wochen von Angelika Reisiger.

    Vielleicht ist es wirklich so, dass sich jemand auf neu registrierte Domains stürzt und darauf warten, bis WordPress hochgeladen wurde und dort die externe DB einträgt?

    Das scheint tatsächlich genauso zu sein. Ich füge mal meine Server Logs ein, vielleicht kann jemand daraus lernen:

    
    95.211.187.223 - - [30/Jun/2022:16:21:03 +0000] "GET / HTTP/1.1" 200 17 "-" "Go-http-client/1.1"
    95.211.187.223 - - [30/Jun/2022:16:21:06 +0000] "GET / HTTP/1.1" 200 18 "-" "Go-http-client/1.1"
    95.211.187.223 - - [30/Jun/2022:16:23:03 +0000] "GET / HTTP/1.1" 301 5 "-" "Go-http-client/1.1"
    95.211.187.223 - - [30/Jun/2022:16:23:06 +0000] "GET / HTTP/1.1" 200 18 "-" "Go-http-client/1.1"
    95.211.187.223 - - [30/Jun/2022:16:25:03 +0000] "GET / HTTP/1.1" 302 5 "-" "Go-http-client/1.1"
    95.211.187.223 - - [30/Jun/2022:16:25:04 +0000] "GET / HTTP/1.1" 302 5 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Safari/537.36"
    95.211.187.223 - - [30/Jun/2022:16:25:05 +0000] "GET /wp-admin/setup-config.php HTTP/1.1" 200 2707 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Safari/537.36"
    95.211.187.223 - - [30/Jun/2022:16:25:06 +0000] "POST /wp-admin/setup-config.php?step=2 HTTP/1.1" 200 1847 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Safari/537.36"
    95.211.187.223 - - [30/Jun/2022:16:25:07 +0000] "GET / HTTP/1.1" 200 18 "-" "Go-http-client/1.1"
    95.211.187.223 - - [30/Jun/2022:16:25:07 +0000] "POST /wp-login.php HTTP/1.1" 302 5 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Safari/537.36"
    95.211.187.223 - - [30/Jun/2022:16:25:17 +0000] "GET /wp-admin/install.php HTTP/1.1" 200 7093 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Safari/537.36"
    95.211.187.223 - - [30/Jun/2022:16:25:18 +0000] "POST /wp-trackback.php HTTP/1.1" 302 5 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Safari/537.36"
    95.211.187.223 - - [30/Jun/2022:16:25:26 +0000] "GET /wp-admin/install.php HTTP/1.1" 200 2326 "/wp-trackback.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Safari/537.36"
    95.211.187.223 - - [30/Jun/2022:16:27:07 +0000] "GET / HTTP/1.1" 302 5 "-" "Go-http-client/1.1"
    95.211.187.223 - - [30/Jun/2022:16:27:07 +0000] "GET / HTTP/1.1" 302 5 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Safari/537.36"
    95.211.187.223 - - [30/Jun/2022:16:27:09 +0000] "GET /wp-admin/setup-config.php HTTP/1.1" 200 2715 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Safari/537.36"
    95.211.187.223 - - [30/Jun/2022:16:27:09 +0000] "POST /wp-admin/setup-config.php?step=2 HTTP/1.1" 200 1855 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Safari/537.36"
    95.211.187.223 - - [30/Jun/2022:16:27:11 +0000] "POST /wp-login.php HTTP/1.1" 302 5 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Safari/537.36"

    `

    Ich habe gerade mit wget https://wordpress.org/latest.tar.gz heruntergeladen und mit einer vorhandenen WordPress-Installation verglichen, es ist alles i.O. Eine wp-config.php ist gar nicht vorhanden. Ein Download mit Firefox erzeugt die Datei wordpress-6.0.tar.gz, die ist aber mit latest.tar.gz identisch.
    Browser / PC Virus?

    Hast du einen zweiten PC zur Verfügung? So könntest du deinen PC ausschließen…

    Es ist kein Virus. Die heruntergeladene Datei ist bei mir auch Okay.

    Es ist tatsächlich wie oben vermutet ein Angriff der per POST Request das Setup aufruft und die Daten auf diese Weise einträgt. Ich habe meine Logfiles gepostet in denen man das sehr schön sehen kann, der entsprechende Beitrag wartet allerdings auf Freischaltung durch einen Moderator.

    EDIT: Die Seite unter der oben genannten IP ist mittlerweile vom Netz genommen.

    Solche Angriffe passieren laufend. Der Zufall wollte es, dass (mindestens) zwei erfolgreich waren. Wenn man etwas Ahnung hat, sollte man WordPress in einem Unterverzeichnis installieren und wenn es soweit ist, die Anleitung nutzen, um ins Stammverzeichnis umzuziehen oder es so belassen …
    Es ist ja nicht nur WordPress, welches mit einem Standardpfad für die Installationsroutine installiert wird.

    • Diese Antwort wurde geändert vor 1 Monat, 2 Wochen von hupe13.
    Thread-Starter torbenrei

    (@torbenrei)

    Hallo zusammen, ich bekam gestern eine Mail von einem Mann aus Tschechien, der ebenfalls betroffen war aber den Typ selbst hacken konnte. Allein in der DB die er gefunden hatte, waren dutzende Webseiten betroffen.

    Die Täter gehen wohl so vor: Die schauen, wo gerade SSL Zertifikate installiert wurden und lassen einen Bot ständig checken, ob WP hochgeladen wurde. Sobald passiert hinterlegt er seine DB Daten. Wenn dann der Seiteninhaber später WP installieren möchte, dann sieht er direkt den zweiten Schritt mit Webseiten-Namen und Usernamen usw. — wenn man nicht aufpasst, dann fällt es ggf. nicht auf oder erst zu spät.

    Das Learning der Woche: auf jeden Fall immer erst das Verzeichnis per htaccess schützen und danach alles hochladen, selbst wenn man es sofort nach dem Hochladen installieren würde.. die sind echt schnell.

    Danke und liebe Grüße!

    Das war Zufall und hat nichts mit dem Einrichten der Zertifikate zu tun. Ich sehe solche Logeinträge auch bei mir und die Domains habe ich schon eine Weile …
    Also auf alle Fälle seine Seite sicher machen und auch halten! Das ist wie bei Hase und Igel.

    Inzwischen gibt es eine sehr ausführliche Beschreibung von Angriffen während der Installation: WordPress installer attack race.

    Ich gehe davon aus, dass die Frage damit hinreichend beantwortet wurde und ändere den Status des Threads auf „gelöst“.

Ansicht von 15 Antworten - 1 bis 15 (von insgesamt 15)