{"id":388,"date":"2007-01-04T23:13:27","date_gmt":"2007-01-04T22:13:27","guid":{"rendered":"http:\/\/www.glorf.it\/blog\/2007\/01\/04\/allgemein\/wordpress-angriff-auf-mail-service"},"modified":"2007-01-04T23:13:27","modified_gmt":"2007-01-04T22:13:27","slug":"wordpress-angriff-auf-mail-service","status":"publish","type":"post","link":"http:\/\/www.glorf.it\/blog\/2007\/01\/04\/allgemein\/wordpress-angriff-auf-mail-service","title":{"rendered":"WordPress: Angriff auf Mail-Service"},"content":{"rendered":"<p>Neben dem gerade erw&#228;hnten <a href=\"http:\/\/www.glorf.it\/blog\/2007\/01\/04\/allgemein\/wordpress-attacken-wegen-aktivierter-permalinks-software-guide\">Angriff &#252;ber getarnte Anf&#252;hrungszeichen<\/a> habe ich noch einen anderen Typus entdeckt:<\/p>\n<p>Es wird versucht Spams &#252;ber die Mail-Benachrichtigung &quot;<a href=\"http:\/\/watershedstudio.com\/portfolio\/software\/wp-email-notification.html\">E-Mail Notification<\/a>&quot; in WordPress zu verschicken. <\/p>\n<p>Anders als im anderen Fall, sind es hier aber immer andere IP-Adressen. Hier zum Beispiel die Liste der IP-Adressen vom 2.1.2007:<\/p>\n<ul>\n<li>165.228.132.11 &#8211; Australien (Telstra Internet)<\/li>\n<li>201.245.175.173 &#8211; Columnbien (UNIVERSIDAD DE PAMPLONA)<\/li>\n<li>212.138.64.175 &#8211; Saudi Arabien (Saudi Network Information Center)<\/li>\n<li>212.85.201.250 &#8211; Ghana (Africa Online Ghana Ltd)<\/li>\n<li>219.250.50.116 &#8211; Korea (Hanaro Telecom)<\/li>\n<li>59.144.163.244 &#8211; Indien (BTNL Delhi)<\/li>\n<li>62.150.35.230 &#8211; Kuweit (QualityNet)<\/li>\n<li>81.169.162.53 &#8211; Berlin (Strato Rechenzentrum)<\/li>\n<\/ul>\n<p>Wegen der &#196;hnlichkeiten der Angriffe k&#246;nnte es gut sein, dass hier jemand einfach auf den obigen Rechnern eine Backdoor eingeschleust hat, die er ausnutzt.<br \/>\nGerade die letzte Adresse st&#252;tzt diese These. Bei den Zugriffen wurden verschiedenste Adressen ausprobiert, um den Speicherort des WordPress-PlugIns zu finden. Offenbar gab es da auch mal ein paar Treffer bei mir, die ich schon mal <a href=\"http:\/\/watershedstudio.com\/portfolio\/software\/wp-email-notification.html\">erw&#228;hnte<\/a>. Damals habe ich das Plugin einfach entfernt, daher bringen die Versuche bei mir nichts&#8230;<\/p>\n<p>Einige identifizieren sich &#252;brigens als &quot;<a href=\"http:\/\/pycurl.sourceforge.net\/\">PycURL\/7.15.5<\/a>&quot;, andere geben sich als &quot;Opera 9.0&quot; aus. Oder kann man Opera so automatisieren, dass es massenweise POSTs abschickt, Tobbi?<\/p>\n<p>Beispiel 1:<br \/>\n<code>81.169.162.53 - - [02\/Jan\/2007:20:42:29 +0100] \"POST \/maillist\/index.php HTTP\/1.0\" 404 27027 \"http:\/\/www.glorf.it\/blog\/\" \"Opera\/9.0 (Windows NT 5.1; U; en)\"<\/code><\/p>\n<p>Beispiel 2:<br \/>\n<code>219.250.50.116 - - [02\/Jan\/2007:11:11:19 +0100] \"POST \/blog\/category\/allgemein\/maillist\/index.php HTTP\/1.1\" 404 26348 \"http:\/\/www.glorf.it\/\" \"PycURL\/7.15.5\"<\/code><\/p>\n<p>Da hier nichts zu holen ist, sehe ich keinen Anlass zu Gegenma&#223;nahmen. Das <a href=\"http:\/\/watershedstudio.com\/portfolio\/software\/wp-email-notification.html\">WordPress-PlugIn<\/a> scheint ja jedenfalls ein lohnendens Ziel zu sein&#8230;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Neben dem gerade erw&#228;hnten Angriff &#252;ber getarnte Anf&#252;hrungszeichen habe ich noch einen anderen Typus entdeckt: Es wird versucht Spams &#252;ber die Mail-Benachrichtigung &quot;E-Mail Notification&quot; in WordPress zu verschicken. Anders als im anderen Fall, sind es hier aber immer andere IP-Adressen. Hier zum Beispiel die Liste der IP-Adressen vom 2.1.2007: 165.228.132.11 &#8211; Australien (Telstra Internet) 201.245.175.173 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[1,2],"tags":[],"_links":{"self":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts\/388"}],"collection":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/comments?post=388"}],"version-history":[{"count":0,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts\/388\/revisions"}],"wp:attachment":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/media?parent=388"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/categories?post=388"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/tags?post=388"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}