Aufgrund des Postings "WordPress: Attacken wegen aktivierter Permalinks" im Software-Guide-Blog habe ich ebenfalls das dort erwähnte 404-Plugin für WordPress installiert. Es hat zwar seine Schwächen, aber dennoch bin ich dankbar. Denn auch bei mir förderte es heftige Angriffe auf meine Webseite zu Tage. Und ich hatte mich schon über die plötzliche Beliebtheit meiner Seite gefreut… 😉

Beispielsweise gab es alleine über 300 "Zugriffe" (oder sollte ich Angriffe sagen?) von der IP-Adresse "202.179.183.28". Die Analyse des Problems konnte leider nicht mit dem Plugin durchgeführt werden. Dazu habe ich ganz einfach die Log-Files ausgewertet.

Dabei habe ich mehrere Typen von Angriffen identifiziert. Hier beschreibe ich mal den ersten Typus.

Es kamen unheimlich viele Zugriffe der Art (von nur wenigen IP-Adressen, aber über den ganzen Tag verteilt – vermutlich damit es nicht auffällt):

/blog/2006/10/28/sql-talk/%22%22
/blog/2006/07/25/webtech/%22%22
/blog/2006/07/08/entspannung/%22%22
/blog/2006/08/10/webtech/%22%22
/blog/2006/09/06/sql-talk/%22%22
/blog/2006/07/18/allgemein/%22%22
/blog/2006/08/08/allgemein/%22%22
/blog/2006/08/08/sql-talk/%22%22

Am 2.1.2007 von:
202.179.183.28 – Korea (NHN)

und am 3.1.2007 von:
222.122.195.251 – Korea (Korea Telecom)
202.179.183.28 – Korea (NHN)

Leider sieht man in den Logfiles nicht das komplette abgeschickte Kommando, deswegen weiß ich nicht, was genau dahinter steckt. Ich schaffte es auch nicht aus Google etwas Nützliches rauszukitzeln. Wenn man aber weiß, dass ASCII 22 (Hex 22) einfach nur das doppelte Anführungszeichen (") ist, dann kann man sich denken, wie der Anfragestring weiterging… Gar nicht so dumm.

Wenn man dem Empfänger mit dem Anführungszeichen erst mal Glauben gemacht hat, dass die URL zu Ende war, dann kann man ihm danach unter Umständen noch ein paar Gemeinheiten unterjubeln. Man kann beispielsweise versuchen eine Lücke auszunutzen, z.B. einen Buffer-Overflow. Hat WordPress einen Bug in der Richtung? Das man nicht einfach nach "%22%22" suchen kann, erschwert die Nachforschungen erheblich.

Was tun?

Dem Vorschlag von Michael folgend, habe ich jetzt mal meine .htaccess-Datei erweitert:

RewriteEngine On
RewriteRule \"\" – [F,NE]

Ich hoffe, dass ist hinreichend entmutigend für die Eindringlinge. Die Analyse hat zwar Spaß gemacht, aber eigentlich wollte ich heute Abend andere Dinge posten…