News

Achtung: Fake WordPress Website im Netz aufgetaucht

6. November 2008 • Aktualisiert am 26. April 2011

Via BloggingTom und WeblogToolsCollection bin ich gerade auf eine sehr wichtige Meldung aufmerksam geworden: Im Netz gibt es eine nahezu identische Kopie der offiziellen WordPress.org Website. Es wurde lediglich das letzte s durch ein z ersetzt. Diese Website ist Teil einer hinterhältigen Masche:

Durch eine momentan unbekannte Hintertür wurde im Dashboard von vielen WordPress Blogs angezeigt, es gäbe eine neue WordPress Version 2.6.4. Dem ist nicht so! Das Ganze ist nur ein Fake, womit man auf die gefälschte Website und somit zum Download gelangt.

Eine kurze Stellungsnahme durch Sophos zur Meldung von Craig Murphy lautet wie folgt:

“Craig talks about how when he logged in to his admin account in WordPress he received a “High Risk Vulnerability Warning” from a spoofed WordPress domain. (The last ’s’ in WordPress.org has been replaced by a ‘z’.) The Warning suggests upgrading to the ‘new’ version 2.6.4 of WordPress. Downloading this ‘new’ version of WordPress I found that of the 638 files in version 2.6.4, 637 were identical to the same files in the official 2.6.3. The only difference was in the file pluggable.php. The hacked version of the file pluggable appears to be stealing the content of cookies on larger installations of WordPress. Sophos are now detecting this file as Troj/WPHack-A.”

Mit anderen Worten: Im Dashboard wird überdeutlich auf eine neue und offiziell nicht existierende Version hingewiesen, die eine Sicherheitslücke beheben soll. Wer das Paket herunterlädt, ladet im Prinzip aber nur WordPress 2.6.3 herunter. Mit der Ausnahme, dass die Datei pluggable.php modifiziert wurde und die Cookies der angemeldeten Benutzer zur gefakten Website schickte. So konnte der Bösewicht Zugang zu Blogs erhalten.

Zur Verdeutlichung und zum besseren Verständnis ein paar Screenshots:

Pascal Birchler
Der Teenager und WordPress-Fan bloggt seit über 2 Jahren über die beliebte Open Source Software WordPress. Er ist zurzeit Informatiker in Ausbildung bei der Südostschweiz Newmedia AG. Folge ihm doch auf Twitter!

13 Kommentare zu “Achtung: Fake WordPress Website im Netz aufgetaucht”

  1. Aro am 7. November 2008 um 00:30 | Permalink

    Durch eine bisher “unbekannte Hintertür”. Das beruhigt ja nicht gerade. :-(

    Antworten
  2. Marcus am 7. November 2008 um 07:51 | Permalink

    Danke, für die News. Was für Idioten es schon gibt. :-(

    Antworten
  3. Dom am 7. November 2008 um 09:39 | Permalink

    Bei mir ist unter wordpresz.org kein Server erreichbar?

    Antworten
  4. Michael am 7. November 2008 um 10:05 | Permalink

    Das Brisante ist doch diese Meldung im Dashboard, weiß man schon ob das nur die im Screenshot gezeigte 2.5.1 betrifft oder auch neuere Versionen?

    Antworten
  5. Christian am 7. November 2008 um 10:29 | Permalink

    Das entscheidende ist allerdings, woran man erkennt, ob man nun eine echte oder falsche Version hat. Wie unterscheiden sich denn die pluggable-Dateien?

    Antworten
  6. florian am 7. November 2008 um 10:38 | Permalink

    hat das evtl. mit dieser sicherheitslücke zu tun, die in 2.6.3 behoben worden sein soll?
    siehe:
    http://blog.wordpress-deutschland.org/2008/10/24/wordpress-263-sicherheitsrelease.html

    Antworten
  7. Maexchen1 am 7. November 2008 um 11:47 | Permalink

    Daher sollte immer ein Update vom Original Server gezogen werden.
    Automatische Updates können immer missbraucht werden.

    Antworten
  8. Pascal Birchler am 7. November 2008 um 12:56 | Permalink

    @Dom Wenn man aufgeflogen ist, macht man schnell einen Rückzieher…

    @Michael & @florian Höchstwahrscheinlich ja. Zumindest konnte die Feed-URL manipuliert werden, weshalb dies eine logische Schlussfolgerung ist.

    @Christian Auf dem letzten Screenshot ist dies gut zu erkennen (Ein Klick vergrössert das Bild). Von allen Usern mit genügend Rechten wurde der Cookie direkt an die böse Adresse geschickt. Jetzt kann man das Cookie nur noch bei sich speichern und schon hat man Zugriff!

    Antworten
  9. Dr. Satori am 7. November 2008 um 23:08 | Permalink

    Ey, ich will diesen Fake haben. Wo ist ein Link zu dieser Seite???

    Antworten
  10. Pascal Birchler am 7. November 2008 um 23:43 | Permalink

    Ey, bitte in einem vernünftigen Ton, ja? ;)

    Die Seite wordpresz.org ist übrigens down, wahrscheinlich hat der Betreiber den Schwanz eingezogen…

    Antworten
  11. Daniel Gilbert am 27. November 2008 um 11:12 | Permalink

    Oder er wurde ihm abgeschnitten… ;)

    Antworten
  12. Joachim am 1. Dezember 2008 um 10:53 | Permalink

    Hallo,

    sind die Probleme jetzt mit WP 2.6.5 behoben?

    Grüße
    Joachim

    Antworten
  13. Pascal Birchler am 1. Dezember 2008 um 11:38 | Permalink

    Auf jeden Fall sollte es jetzt nicht mehr möglich sein, so einen gefälschten Update-Hinweis unterzujubeln…

    Antworten

25 Pingbacks

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>