News

Achtung: Fake WordPress Website im Netz aufgetaucht

Von Pascal Birchler 6. November 2008 Kommentar schreiben

Via BloggingTom und WeblogToolsCollection bin ich gerade auf eine sehr wichtige Meldung aufmerksam geworden: Im Netz gibt es eine nahezu identische Kopie der offiziellen WordPress.org Website. Es wurde lediglich das letzte s durch ein z ersetzt. Diese Website ist Teil einer hinterhältigen Masche:

Durch eine momentan unbekannte Hintertür wurde im Dashboard von vielen WordPress Blogs angezeigt, es gäbe eine neue WordPress Version 2.6.4. Dem ist nicht so! Das Ganze ist nur ein Fake, womit man auf die gefälschte Website und somit zum Download gelangt.

Eine kurze Stellungsnahme durch Sophos zur Meldung von Craig Murphy lautet wie folgt:

“Craig talks about how when he logged in to his admin account in WordPress he received a “High Risk Vulnerability Warning” from a spoofed WordPress domain. (The last ’s’ in WordPress.org has been replaced by a ‘z’.) The Warning suggests upgrading to the ‘new’ version 2.6.4 of WordPress. Downloading this ‘new’ version of WordPress I found that of the 638 files in version 2.6.4, 637 were identical to the same files in the official 2.6.3. The only difference was in the file pluggable.php. The hacked version of the file pluggable appears to be stealing the content of cookies on larger installations of WordPress. Sophos are now detecting this file as Troj/WPHack-A.”

Mit anderen Worten: Im Dashboard wird überdeutlich auf eine neue und offiziell nicht existierende Version hingewiesen, die eine Sicherheitslücke beheben soll. Wer das Paket herunterlädt, ladet im Prinzip aber nur WordPress 2.6.3 herunter. Mit der Ausnahme, dass die Datei pluggable.php modifiziert wurde und die Cookies der angemeldeten Benutzer zur gefakten Website schickte. So konnte der Bösewicht Zugang zu Blogs erhalten.

Zur Verdeutlichung und zum besseren Verständnis ein paar Screenshots:

Der FALSCHE Hinweis im Dashboard

Der FALSCHE Hinweis im Dashboard

Die Fake Website

Die Fake Website

pluggable.php der infizierten Version

pluggable.php der infizierten Version

Print This PostTags: , , ,

Diskussion

38 Kommentare für “Achtung: Fake WordPress Website im Netz aufgetaucht”

  1. Durch eine bisher “unbekannte Hintertür”. Das beruhigt ja nicht gerade. :-(

    Geschrieben von Aro | 7. November 2008, 00:30

  2. Danke, für die News. Was für Idioten es schon gibt. :-(

    Geschrieben von Marcus | 7. November 2008, 07:51

  3. Bei mir ist unter wordpresz.org kein Server erreichbar?

    Geschrieben von Dom | 7. November 2008, 09:39

  4. Das Brisante ist doch diese Meldung im Dashboard, weiß man schon ob das nur die im Screenshot gezeigte 2.5.1 betrifft oder auch neuere Versionen?

    Geschrieben von Michael | 7. November 2008, 10:05

  5. Das entscheidende ist allerdings, woran man erkennt, ob man nun eine echte oder falsche Version hat. Wie unterscheiden sich denn die pluggable-Dateien?

    Geschrieben von Christian | 7. November 2008, 10:29

  6. hat das evtl. mit dieser sicherheitslücke zu tun, die in 2.6.3 behoben worden sein soll?
    siehe:
    http://blog.wordpress-deutschland.org/2008/10/24/wordpress-263-sicherheitsrelease.html

    Geschrieben von florian | 7. November 2008, 10:38

  7. Daher sollte immer ein Update vom Original Server gezogen werden.
    Automatische Updates können immer missbraucht werden.

    Geschrieben von Maexchen1 | 7. November 2008, 11:47

  8. @Dom Wenn man aufgeflogen ist, macht man schnell einen Rückzieher…

    @Michael & @florian Höchstwahrscheinlich ja. Zumindest konnte die Feed-URL manipuliert werden, weshalb dies eine logische Schlussfolgerung ist.

    @Christian Auf dem letzten Screenshot ist dies gut zu erkennen (Ein Klick vergrössert das Bild). Von allen Usern mit genügend Rechten wurde der Cookie direkt an die böse Adresse geschickt. Jetzt kann man das Cookie nur noch bei sich speichern und schon hat man Zugriff!

    Geschrieben von Pascal Birchler | 7. November 2008, 12:56

  9. Ey, ich will diesen Fake haben. Wo ist ein Link zu dieser Seite???

    Geschrieben von Dr. Satori | 7. November 2008, 23:08

  10. Ey, bitte in einem vernünftigen Ton, ja? ;)

    Die Seite wordpresz.org ist übrigens down, wahrscheinlich hat der Betreiber den Schwanz eingezogen…

    Geschrieben von Pascal Birchler | 7. November 2008, 23:43

  11. Oder er wurde ihm abgeschnitten… ;)

    Geschrieben von Daniel Gilbert | 27. November 2008, 11:12

  12. Hallo,

    sind die Probleme jetzt mit WP 2.6.5 behoben?

    Grüße
    Joachim

    Geschrieben von Joachim | 1. Dezember 2008, 10:53

  13. Auf jeden Fall sollte es jetzt nicht mehr möglich sein, so einen gefälschten Update-Hinweis unterzujubeln…

    Geschrieben von Pascal Birchler | 1. Dezember 2008, 11:38

    14. Trackbacks / Pingbacks

  14. WordPress - aufpassen! | Bürger-Herold | November 6, 2008, 22:38
  15. Ξ Warnung vor gefälschter WordPress.org-Website Ξ UPLOAD - Magazin für digitales Publizieren Ξ | November 6, 2008, 23:06
  16. bembelkandidat » Datenklau mit gefälschtem Wordpress 2.6.4 | | November 7, 2008, 01:16
  17. WordPress Fake mit Trojaner im Gepäck - GreenSmilies | November 7, 2008, 01:46
  18. Basic Thinking Blog | Wordpress: Nur von Wordpress.org/.de downloaden | November 7, 2008, 07:58
  19. Verseuchte Wordpress Software im Umlauf » Blog Archive » Dimension 2k | November 7, 2008, 08:39
  20. Wordpress Fake-Seite verseucht die Blog-Szene | Penzweb.de | November 7, 2008, 09:37
  21. Mehr Erfolg im Internet » Blog Archive » WordPress-Fälschung auf gefälschter WordPress-Seite | November 7, 2008, 09:46
  22. Blomepage-Blog» Blog Archive » Falsches WordPress - Version 2.6.4 und Website | November 7, 2008, 09:56
  23. Latita’s Life » Oha: Wordpress-Fakes | November 7, 2008, 11:29
  24. Gruening.me | November 7, 2008, 12:19
  25. Achtung - Fake WordPress Update » Blogwiese | November 7, 2008, 12:55
  26. WP 2.6.4 gibt es noch nicht! » Cowboy of Bottrop | November 7, 2008, 13:14
  27. Wordpress “infiziert”? | November 7, 2008, 14:48
  28. tonnendreher » Gefakte Wordpress.org Webseite im Netz | November 7, 2008, 15:42
  29. Vorsicht vor gefälschten WordPress-Versionen! « WordPress Deutschland Blog | November 8, 2008, 11:04
  30. WordPress verschickt geklaute Daten! - Benutzer, Betrüger, Dashboard, Datenklau, DE-Version, Download, Hacker, Meldung, Modifizierung, Sicherheitslücke, Versionsnummer, Vorfall, Wordpress, WordPress-Cookies, WordPress-Deutschland, WordPress-Update, Word | November 8, 2008, 13:52
  31. kollitsch.net » Gefälschte Wordpress-Updates? | November 8, 2008, 17:14
  32. Warnung vor falschem Wordpress 2.6.4 | Datenschutz-Blog | November 10, 2008, 20:55
  33. Sicherheitsrelease Wordpress 2.6.5 » zauberpage.de | Dezember 1, 2008, 11:32
  34. Fake WordPress Website im Netz aufgetaucht - gemacht, Internet , ersten Blick, bemerkt , WordPress , Absicht oder so geplant , Paket , wundern - WordPress Szene Seite | Januar 5, 2009, 16:59
  35. Fake WordPress Website im Netz aufgetaucht « BenG.dk | Mai 9, 2009, 11:58
  36. Blogger Portraits - Pascal Birchler | Juni 9, 2009, 06:27
  37. Fake WordPress Website im Netz aufgetaucht » Beitrag » myWordPress.de | Juni 27, 2009, 20:35
  38. Fake WordPress Website im Netz aufgetaucht » WordPress, Login, Daten, Seite, Blog, Fake » fgBlog.de | August 2, 2009, 20:28

Kommentar schreiben

wpSEO