{"id":387,"date":"2007-01-04T22:51:42","date_gmt":"2007-01-04T21:51:42","guid":{"rendered":"http:\/\/www.glorf.it\/blog\/2007\/01\/04\/allgemein\/wordpress-attacken-wegen-aktivierter-permalinks-software-guide"},"modified":"2007-01-05T08:05:07","modified_gmt":"2007-01-05T07:05:07","slug":"wordpress-attacken-wegen-aktivierter-permalinks-software-guide","status":"publish","type":"post","link":"http:\/\/www.glorf.it\/blog\/2007\/01\/04\/allgemein\/wordpress-attacken-wegen-aktivierter-permalinks-software-guide","title":{"rendered":"WordPress: Attacke mit Anf&#252;hrungszeichen"},"content":{"rendered":"<p>Aufgrund des Postings &quot;<a href=\"http:\/\/sw-guide.de\/weblog\/2007-01-02\/wordpressattacken-wegen-aktivierter-permalinks\/\">WordPress: Attacken wegen aktivierter Permalinks<\/a>&quot; im Software-Guide-Blog habe ich ebenfalls das dort erw&#228;hnte <a href=\"http:\/\/mattread.com\/projects\/wp-plugins\/log-404\/\">404-Plugin f&#252;r WordPress<\/a> installiert. Es hat zwar seine Schw&#228;chen, aber dennoch bin ich dankbar. Denn auch bei mir f&#246;rderte es heftige Angriffe auf meine Webseite zu Tage. Und ich hatte mich schon &#252;ber die pl&#246;tzliche <em>Beliebtheit<\/em> meiner Seite gefreut&#8230; \ud83d\ude09<\/p>\n<p>Beispielsweise gab es alleine &#252;ber 300 &quot;Zugriffe&quot; (oder sollte ich Angriffe sagen?) von der IP-Adresse &quot;202.179.183.28&quot;. Die Analyse des Problems konnte leider nicht mit dem Plugin durchgef&#252;hrt werden. Dazu habe ich ganz einfach die Log-Files ausgewertet.<\/p>\n<p>Dabei habe ich mehrere Typen von Angriffen identifiziert. Hier beschreibe ich mal den ersten Typus.<\/p>\n<p>Es kamen unheimlich viele Zugriffe der Art (von nur wenigen IP-Adressen, aber &#252;ber den ganzen Tag verteilt &#8211; vermutlich damit es nicht auff&#228;llt):<br \/>\n<code><br \/>\n\/blog\/2006\/10\/28\/sql-talk\/%22%22<br \/>\n\/blog\/2006\/07\/25\/webtech\/%22%22<br \/>\n\/blog\/2006\/07\/08\/entspannung\/%22%22<br \/>\n\/blog\/2006\/08\/10\/webtech\/%22%22<br \/>\n\/blog\/2006\/09\/06\/sql-talk\/%22%22<br \/>\n\/blog\/2006\/07\/18\/allgemein\/%22%22<br \/>\n\/blog\/2006\/08\/08\/allgemein\/%22%22<br \/>\n\/blog\/2006\/08\/08\/sql-talk\/%22%22<\/code><\/p>\n<p>Am 2.1.2007 von:<br \/>\n202.179.183.28  &#8211; Korea (NHN)<\/p>\n<p>und am 3.1.2007 von:<br \/>\n222.122.195.251 &#8211; Korea (Korea Telecom)<br \/>\n202.179.183.28  &#8211; Korea (NHN)<\/p>\n<p>Leider sieht man in den Logfiles nicht das komplette abgeschickte Kommando, deswegen wei&#223; ich nicht, was genau dahinter steckt. Ich schaffte es auch nicht aus Google etwas N&#252;tzliches rauszukitzeln. Wenn man aber wei&#223;, dass <a href=\"http:\/\/de.wikipedia.org\/wiki\/ASCII\">ASCII<\/a> 22 (Hex 22) einfach nur das doppelte Anf&#252;hrungszeichen (&quot;) ist, dann kann man sich denken, wie der Anfragestring weiterging&#8230; Gar nicht so dumm. <\/p>\n<p>Wenn man dem Empf&#228;nger mit dem Anf&#252;hrungszeichen erst mal Glauben gemacht hat, dass die URL zu Ende war, dann kann man ihm danach unter Umst&#228;nden noch ein paar Gemeinheiten unterjubeln. Man kann beispielsweise versuchen eine L&#252;cke auszunutzen, z.B. einen <a href=\"http:\/\/de.wikipedia.org\/wiki\/Buffer-Overflow\">Buffer-Overflow<\/a>. Hat WordPress einen Bug in der Richtung? Das man nicht einfach nach &quot;%22%22&quot; suchen kann, erschwert die Nachforschungen erheblich.<\/p>\n<p><strong>Was tun?<\/strong><\/p>\n<p>Dem Vorschlag von Michael folgend, habe ich jetzt mal meine .htaccess-Datei erweitert:<\/p>\n<p><code>RewriteEngine On<br \/>\nRewriteRule \\&quot;\\&quot; &#8211; [F,NE]<\/code><\/p>\n<p>Ich hoffe, dass ist hinreichend entmutigend f&#252;r die Eindringlinge. Die Analyse hat zwar Spa&#223; gemacht, aber eigentlich wollte ich heute Abend andere Dinge posten&#8230;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Aufgrund des Postings &quot;WordPress: Attacken wegen aktivierter Permalinks&quot; im Software-Guide-Blog habe ich ebenfalls das dort erw&#228;hnte 404-Plugin f&#252;r WordPress installiert. Es hat zwar seine Schw&#228;chen, aber dennoch bin ich dankbar. Denn auch bei mir f&#246;rderte es heftige Angriffe auf meine Webseite zu Tage. Und ich hatte mich schon &#252;ber die pl&#246;tzliche Beliebtheit meiner Seite gefreut&#8230; [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[1,2],"tags":[],"_links":{"self":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts\/387"}],"collection":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/comments?post=387"}],"version-history":[{"count":0,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts\/387\/revisions"}],"wp:attachment":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/media?parent=387"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/categories?post=387"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/tags?post=387"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}