Keine allzu guten Nachrichten heute:
Zurzeit treibt ein Wurm sein Unwesen, der sich in WordPress-Blogs einnistet und in der Blogroll Links zu dubiosen Seiten setzt. Entfernt man diese, werden sie beim nächsten Aufrufen der Seite automatisch wieder gesetzt. In einer XING-Newsgroup beschäftigte man sich nach einem Hilferuf einer Bloggerin mit der Analyse und Bekämpfung des Wurmes.
Der Schadcode wird anscheinend in der header.php der Templates als kodierter Code direkt hinter dem <body> Tag eingefügt und so bei jedem Aufruf der Seite ausgeführt. Er ermöglicht es einem externen Server, jeden beliebigen Code in das Blog einzufügen, was eigentlich bedeutet, dass das Blog vollständig von Außen gesteuert werden könnte, die Datenbanken an den Server gesendet werden könnten oder für Nutzer gefährlicher Code in das Blog eingefügt werden könnte.
Die Lücke liegt übrigens nicht bei WordPress, sondern beim jeweiligen Administrator. Ein Bot greift nach dem Erraten des Passwortes über FTP auf den Server zu und verändert die Dateien. Außerdem überwacht er, ob der Schadcode sich noch in den Templatedateien befindet und fügt ihn bei Bedarf wieder ein.
Abhilfe schafft also eine Änderung des FTP-Passwortes unter Wahl einer schwer zu knackenden Buchstaben-Zahlen-Sonderzeichen-Kombination und eine nachfolgende Bereinigung aller infizierten Dateien und Änderung aller Passwörter (die an den Server gesendet worden sein könnten).
Quelle: playground
