» Wordpress Blogs werden per Bruteforce angegriffen

mgutt · 15.04.2013, 11:57

Die PC Welt berichtet von Angriffen gegen Wordpress Blogs:
http://www.pcwelt.de/news/Hacker_greifen_WordPress-Seiten_mit_Bot-Netzwerk_an-Sicherheit-7830672.html

ZitatFalls Sie eine auf WordPress basierende Website betreiben, sollten Sie sichergehen, dass Sie ein sehr starkes Passwort verwenden und ihr Login-Name nicht Admin lautet. Wie HostGator und CloudFlare berichten, wurden seit dem Wochenende verstärkt Hacker-Angriffe auf Betreiber von WordPress-Blogs im ganzen Internet registriert. Den Mutmaßungen zufolge handelt es sich dabei um Brute-Force-Wörterbuch-Attacken, die darauf abzielen, das Passwort für Admin-Accounts herauszufinden. Dieser Account wird von WordPress beim Anlegen einer neuen Seite automatisch erstellt.

Mein Blog http://www.seowriter.de wurde auf diese Art auch kurz übernommen. Ich hatte zwar einen sicheren Admin-Account allerdings schlicht vergessen einen Test-Account zu löschen. Dank des tollen Services meines Hosters Hetzner wurde ich darüber per Email informiert. Ein Routine-Anti-Virus Scan hatte einen Trojaner auf dem Webspace gefunden.

Nach dem Angriff habe ich den Blog kurz abgeschaltet, in dem ich per .htaccess alle Zugriffe außer meiner IP verboten habe:

deny from all
allow from 80.123.123.123

Hetzner hatte mir schon die entsprechende Datei genannt. Ich musste also nur noch in den Backups suchen an welchem Tag der Trojaner noch nicht vorhanden war.

Mit dem Datum habe ich dann die HTTP Logs gesichtet und schnell den Angriff herausgefiltert:

Zitats4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:08 +0100] "GET /wp-login.php HTTP/1.1" 200 2835 "-" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:08 +0100] "GET /wp-admin/css/colors-fresh.css?ver=3.4.2 HTTP/1.1" 200 36596 "http://www.seowriter.de/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:08 +0100] "GET /wp-admin/css/wp-admin.css?ver=3.4.2 HTTP/1.1" 200 108528 "http://www.seowriter.de/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:10 +0100] "GET /wp-admin/images/wordpress-logo.png?ver=20120216 HTTP/1.1" 200 5327 "http://www.seowriter.de/wp-admin/css/wp-admin.css?ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:10 +0100] "GET /wp-admin/images/button-grad.png HTTP/1.1" 200 519 "http://www.seowriter.de/wp-admin/css/colors-fresh.css?ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:11 +0100] "GET /favicon.ico HTTP/1.1" 200 213 "-" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:13 +0100] "GET /wp-admin/images/button-grad-active.png HTTP/1.1" 200 561 "http://www.seowriter.de/wp-admin/css/colors-fresh.css?ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:13 +0100] "POST /wp-login.php HTTP/1.1" 302 935 "http://www.seowriter.de/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:14 +0100] "GET /wp-admin/ HTTP/1.1" 200 62168 "http://www.seowriter.de/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:16 +0100] "GET /wp-content/plugins/exec-php/js/common.js?ver=3.4.2 HTTP/1.1" 200 682 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:16 +0100] "GET /wp-includes/js/thickbox/thickbox.css?ver=3.4.2 HTTP/1.1" 200 4148 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:16 +0100] "GET /wp-content/plugins/exec-php/css/admin.css?ver=3.4.2 HTTP/1.1" 200 612 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:16 +0100] "GET /wp-admin/css/colors-fresh.css?ver=3.4.2 HTTP/1.1" 304 175 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:16 +0100] "GET /wp-admin/images/wpspin_light.gif HTTP/1.1" 200 2472 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:16 +0100] "GET /wp-content/plugins/exec-php/js/admin.js?ver=3.4.2 HTTP/1.1" 200 3207 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:16 +0100] "GET /wp-admin/images/media-button.png?ver=20111005 HTTP/1.1" 200 3395 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:16 +0100] "GET /wp-includes/css/editor.css?ver=3.4.2 HTTP/1.1" 200 44141 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:16 +0100] "GET /wp-admin/load-scripts.php?c=0&load=sack,jquery,utils&ver=3.4.2 HTTP/1.1" 200 100679 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:16 +0100] "GET /wp-admin/load-styles.php?c=0&dir=ltr&load=wp-jquery-ui-dialog&ver=3.4.2 HTTP/1.1" 200 3621 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:16 +0100] "GET /wp-admin/load-styles.php?c=0&dir=ltr&load=admin-bar,wp-admin,wp-pointer&ver=3.4.2 HTTP/1.1" 200 123044 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:19 +0100] "GET /wp-admin/images/menu-shadow.png HTTP/1.1" 200 407 "http://www.seowriter.de/wp-admin/css/colors-fresh.css?ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:16 +0100] "GET /wp-admin/load-scripts.php?c=0&load=admin-bar,hoverIntent,common,jquery-color,wp-ajax-response,wp-lists,quicktags,jquery-query,admin-comments,jquery-ui-core,jquery-ui-widget,jquery-ui-mouse,jquery-ui-sortable,postbox,dashboard,thickbox,plugin-install,media-upload,jquery-ui-position,wp-pointer,word-count,jquery-ui-resizable,jquery-ui-draggable,jquery-ui-button,jquery-ui-dialog,wpdialogs,wplink,wpdialogs-popup&ver=3.4.2 HTTP/1.1" 200 182460 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:19 +0100] "GET /wp-includes/images/admin-bar-sprite.png?d=20111130 HTTP/1.1" 200 4277 "http://www.seowriter.de/wp-admin/load-styles.php?c=0&dir=ltr&load=admin-bar,wp-admin,wp-pointer&ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:19 +0100] "GET /wp-admin/images/white-grad.png HTTP/1.1" 200 486 "http://www.seowriter.de/wp-admin/css/colors-fresh.css?ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:19 +0100] "GET /wp-admin/images/menu.png?ver=20120201 HTTP/1.1" 200 13865 "http://www.seowriter.de/wp-admin/css/colors-fresh.css?ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:19 +0100] "GET /wp-admin/images/arrows.png HTTP/1.1" 200 771 "http://www.seowriter.de/wp-admin/css/colors-fresh.css?ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:19 +0100] "GET /wp-admin/images/icons32.png?ver=20111206 HTTP/1.1" 200 13721 "http://www.seowriter.de/wp-admin/css/colors-fresh.css?ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:19 +0100] "POST /wp-admin/admin-ajax.php HTTP/1.1" 200 298 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:21 +0100] "GET /wp-includes/js/thickbox/loadingAnimation.gif HTTP/1.1" 200 6165 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:21 +0100] "GET /wp-includes/images/xit.gif HTTP/1.1" 200 458 "http://www.seowriter.de/wp-admin/load-styles.php?c=0&dir=ltr&load=admin-bar,wp-admin,wp-pointer&ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:21 +0100] "GET /wp-includes/images/icon-pointer-flag.png HTTP/1.1" 200 1060 "http://www.seowriter.de/wp-admin/load-styles.php?c=0&dir=ltr&load=admin-bar,wp-admin,wp-pointer&ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:21 +0100] "GET /wp-includes/images/arrow-pointer-blue.png HTTP/1.1" 200 1236 "http://www.seowriter.de/wp-admin/load-styles.php?c=0&dir=ltr&load=admin-bar,wp-admin,wp-pointer&ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:21 +0100] "GET /wp-admin/admin-ajax.php?action=dashboard-widgets&widget=dashboard_incoming_links HTTP/1.1" 200 525 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:22 +0100] "POST /wp-admin/admin-ajax.php HTTP/1.1" 200 318 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:22 +0100] "GET /wp-admin/admin-ajax.php?action=dashboard-widgets&widget=dashboard_plugins HTTP/1.1" 200 1300 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:25 +0100] "GET /wp-admin/theme-editor.php HTTP/1.1" 200 31442 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:22 +0100] "GET /wp-admin/admin-ajax.php?action=dashboard-widgets&widget=dashboard_secondary HTTP/1.1" 200 5186 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:25 +0100] "GET /wp-content/plugins/exec-php/css/admin.css?ver=3.4.2 HTTP/1.1" 304 173 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:25 +0100] "GET /wp-admin/css/colors-fresh.css?ver=3.4.2 HTTP/1.1" 304 174 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:25 +0100] "GET /wp-content/plugins/exec-php/js/common.js?ver=3.4.2 HTTP/1.1" 304 173 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:25 +0100] "GET /wp-content/plugins/exec-php/js/admin.js?ver=3.4.2 HTTP/1.1" 304 173 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:26 +0100] "GET /wp-admin/load-scripts.php?c=0&load=admin-bar,hoverIntent,common,jquery-color&ver=3.4.2 HTTP/1.1" 200 15418 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:25 +0100] "GET /wp-admin/load-styles.php?c=0&dir=ltr&load=admin-bar,wp-admin&ver=3.4.2 HTTP/1.1" 200 120125 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:27 +0100] "POST /wp-admin/admin-ajax.php HTTP/1.1" 200 298 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:21 +0100] "GET /wp-admin/admin-ajax.php?action=dashboard-widgets&widget=dashboard_primary HTTP/1.1" 200 465 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:33 +0100] "GET /wp-admin/images/white-grad-active.png HTTP/1.1" 200 499 "http://www.seowriter.de/wp-admin/css/colors-fresh.css?ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:33 +0100] "POST /wp-admin/theme-editor.php HTTP/1.1" 200 50775 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:34 +0100] "GET /wp-content/plugins/exec-php/css/admin.css?ver=3.4.2 HTTP/1.1" 304 173 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:34 +0100] "GET /wp-admin/css/colors-fresh.css?ver=3.4.2 HTTP/1.1" 304 174 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:34 +0100] "GET /wp-content/plugins/exec-php/js/admin.js?ver=3.4.2 HTTP/1.1" 304 173 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:34 +0100] "GET /wp-content/plugins/exec-php/js/common.js?ver=3.4.2 HTTP/1.1" 304 173 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:35 +0100] "POST /wp-admin/admin-ajax.php HTTP/1.1" 200 298 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:37 +0100] "GET /wp-admin/theme-editor.php?file=author.php&theme=twentyten HTTP/1.1" 200 31449 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:38 +0100] "GET /wp-content/plugins/exec-php/css/admin.css?ver=3.4.2 HTTP/1.1" 304 173 "http://www.seowriter.de/wp-admin/theme-editor.php?file=author.php&theme=twentyten" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:38 +0100] "GET /wp-admin/css/colors-fresh.css?ver=3.4.2 HTTP/1.1" 304 174 "http://www.seowriter.de/wp-admin/theme-editor.php?file=author.php&theme=twentyten" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:38 +0100] "GET /wp-content/plugins/exec-php/js/common.js?ver=3.4.2 HTTP/1.1" 304 173 "http://www.seowriter.de/wp-admin/theme-editor.php?file=author.php&theme=twentyten" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:38 +0100] "GET /wp-content/plugins/exec-php/js/admin.js?ver=3.4.2 HTTP/1.1" 304 173 "http://www.seowriter.de/wp-admin/theme-editor.php?file=author.php&theme=twentyten" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:38 +0100] "POST /wp-admin/admin-ajax.php HTTP/1.1" 200 298 "http://www.seowriter.de/wp-admin/theme-editor.php?file=author.php&theme=twentyten" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:42 +0100] "GET /wp-admin/images/button-grad-active.png HTTP/1.1" 200 561 "http://www.seowriter.de/wp-admin/css/colors-fresh.css?ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:42 +0100] "POST /wp-admin/theme-editor.php HTTP/1.1" 302 486 "http://www.seowriter.de/wp-admin/theme-editor.php?file=author.php&theme=twentyten" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:43 +0100] "GET /wp-admin/theme-editor.php?file=author.php&theme=twentyten&scrollto=3679&updated=true HTTP/1.1" 200 55148 "http://www.seowriter.de/wp-admin/theme-editor.php?file=author.php&theme=twentyten" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:44 +0100] "GET /wp-admin/css/colors-fresh.css?ver=3.4.2 HTTP/1.1" 304 174 "http://www.seowriter.de/wp-admin/theme-editor.php?file=author.php&theme=twentyten&scrollto=3679&updated=true" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:44 +0100] "GET /wp-content/plugins/exec-php/css/admin.css?ver=3.4.2 HTTP/1.1" 304 173 "http://www.seowriter.de/wp-admin/theme-editor.php?file=author.php&theme=twentyten&scrollto=3679&updated=true" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:44 +0100] "GET /wp-content/plugins/exec-php/js/common.js?ver=3.4.2 HTTP/1.1" 304 173 "http://www.seowriter.de/wp-admin/theme-editor.php?file=author.php&theme=twentyten&scrollto=3679&updated=true" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:45 +0100] "GET /wp-content/plugins/exec-php/js/admin.js?ver=3.4.2 HTTP/1.1" 304 173 "http://www.seowriter.de/wp-admin/theme-editor.php?file=author.php&theme=twentyten&scrollto=3679&updated=true" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:45 +0100] "POST /wp-admin/admin-ajax.php HTTP/1.1" 200 298 "http://www.seowriter.de/wp-admin/theme-editor.php?file=author.php&theme=twentyten&scrollto=3679&updated=true" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:49 +0100] "GET /wp-content/themes/twentyten/author.php HTTP/1.1" 200 338 "-" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:57 +0100] "POST /wp-content/themes/twentyten/author.php HTTP/1.1" 200 28504 "http://www.seowriter.de/wp-content/themes/twentyten/author.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:45:01 +0100] "POST /wp-content/themes/twentyten/author.php HTTP/1.1" 200 31306 "http://www.seowriter.de/wp-content/themes/twentyten/author.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:45:06 +0100] "POST /wp-content/themes/twentyten/author.php HTTP/1.1" 200 12503 "http://www.seowriter.de/wp-content/themes/twentyten/author.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:45:09 +0100] "POST /wp-content/themes/twentyten/author.php HTTP/1.1" 200 12714 "http://www.seowriter.de/wp-content/themes/twentyten/author.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:45:10 +0100] "POST /wp-content/themes/twentyten/author.php HTTP/1.1" 200 31306 "http://www.seowriter.de/wp-content/themes/twentyten/author.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:45:16 +0100] "POST /wp-content/themes/twentyten/author.php HTTP/1.1" 200 10294 "http://www.seowriter.de/wp-content/themes/twentyten/author.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"
s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:45:21 +0100] "POST /wp-content/themes/twentyten/author.php HTTP/1.1" 200 10396 "http://www.seowriter.de/wp-content/themes/twentyten/author.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1"

Da nur der aufgelöste Hostname in den Logs stand habe ich per Whois IP bei http://www.heise.de/netze/tools/whois/ den IP Inhaber ermittelt und eine Nachricht an die Abuse-Emailadresse gesendet, damit die entsprechende Maßnahmen gegen den Angreifer unternehmen können.

Eine Anzeige habe ich mir gespart. Die dürfte in 99,999% der Fälle eh nichts bringen. Wer will kann es aber gerne versuchen.

An Hand der Logs konnte ich leicht erkennen, dass der Angreifer in der Lage war sich einzuloggen. Er hat also das Passwort. Daraufhin bin ich in den Adminbereich und habe festgestellt, dass ich zwei Admin-Accounts hatte. Einen Admin und einen Test und letzterer wird vermutlich kein gutes Passwort gehabt haben. Dummheit wird eben bestraft.

Da ich seit dem Angriff nichts in dem Blog verändert habe, habe ich einfach den kompletten Datensatz mit dem aus dem Backup überschrieben.

Dann habe ich den Testaccount bzw. eigentlich habe ich sogar alle Accounts entfernt. Registrierte Nutzer hatte ich eh keine. Daher auch gleich die entsprechende Einstellung "Einstellungen -> Allgemein -> Jeder kann sich registrieren" deaktiviert.

programmierer-forum.de · Gast

Mach mit!

Wenn Dir die Beiträge zum Thread "Wordpress Blogs werden per Bruteforce angegriffen" gefallen haben oder Du noch Fragen hast oder Ergänzungen machen möchtest, solltest Du Dich gleich bei uns anmelden:

Registrierte Mitglieder genießen die folgenden Vorteile:
✔ kostenlose Mitgliedschaft
✔ keine Werbung
✔ direkter Austausch mit Gleichgesinnten
✔ neue Fragen stellen oder Diskussionen starten
✔ schnelle Hilfe bei Problemen
✔ Bilder und Videos hochladen
✔ und vieles mehr...

Autor	Nachricht
mgutt Administrator Name: Marc Geschlecht: Anmeldedatum: 28.08.2004 Beiträge: 52420 Wohnort: Lohmar Meine eBay-Auktionen:	15.04.2013, 11:57 zitieren Die PC Welt berichtet von Angriffen gegen Wordpress Blogs: http://www.pcwelt.de/news/Hacker_greifen_WordPress-Seiten_mit_Bot-Netzwerk_an-Sicherheit-7830672.html ZitatFalls Sie eine auf WordPress basierende Website betreiben, sollten Sie sichergehen, dass Sie ein sehr starkes Passwort verwenden und ihr Login-Name nicht Admin lautet. Wie HostGator und CloudFlare berichten, wurden seit dem Wochenende verstärkt Hacker-Angriffe auf Betreiber von WordPress-Blogs im ganzen Internet registriert. Den Mutmaßungen zufolge handelt es sich dabei um Brute-Force-Wörterbuch-Attacken, die darauf abzielen, das Passwort für Admin-Accounts herauszufinden. Dieser Account wird von WordPress beim Anlegen einer neuen Seite automatisch erstellt. Mein Blog http://www.seowriter.de wurde auf diese Art auch kurz übernommen. Ich hatte zwar einen sicheren Admin-Account allerdings schlicht vergessen einen Test-Account zu löschen. Dank des tollen Services meines Hosters Hetzner wurde ich darüber per Email informiert. Ein Routine-Anti-Virus Scan hatte einen Trojaner auf dem Webspace gefunden. Nach dem Angriff habe ich den Blog kurz abgeschaltet, in dem ich per .htaccess alle Zugriffe außer meiner IP verboten habe: `deny from all allow from 80.123.123.123` Hetzner hatte mir schon die entsprechende Datei genannt. Ich musste also nur noch in den Backups suchen an welchem Tag der Trojaner noch nicht vorhanden war. Mit dem Datum habe ich dann die HTTP Logs gesichtet und schnell den Angriff herausgefiltert: Zitats4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:08 +0100] "GET /wp-login.php HTTP/1.1" 200 2835 "-" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:08 +0100] "GET /wp-admin/css/colors-fresh.css?ver=3.4.2 HTTP/1.1" 200 36596 "http://www.seowriter.de/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:08 +0100] "GET /wp-admin/css/wp-admin.css?ver=3.4.2 HTTP/1.1" 200 108528 "http://www.seowriter.de/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:10 +0100] "GET /wp-admin/images/wordpress-logo.png?ver=20120216 HTTP/1.1" 200 5327 "http://www.seowriter.de/wp-admin/css/wp-admin.css?ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:10 +0100] "GET /wp-admin/images/button-grad.png HTTP/1.1" 200 519 "http://www.seowriter.de/wp-admin/css/colors-fresh.css?ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:11 +0100] "GET /favicon.ico HTTP/1.1" 200 213 "-" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:13 +0100] "GET /wp-admin/images/button-grad-active.png HTTP/1.1" 200 561 "http://www.seowriter.de/wp-admin/css/colors-fresh.css?ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:13 +0100] "POST /wp-login.php HTTP/1.1" 302 935 "http://www.seowriter.de/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:14 +0100] "GET /wp-admin/ HTTP/1.1" 200 62168 "http://www.seowriter.de/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:16 +0100] "GET /wp-content/plugins/exec-php/js/common.js?ver=3.4.2 HTTP/1.1" 200 682 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:16 +0100] "GET /wp-includes/js/thickbox/thickbox.css?ver=3.4.2 HTTP/1.1" 200 4148 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:16 +0100] "GET /wp-content/plugins/exec-php/css/admin.css?ver=3.4.2 HTTP/1.1" 200 612 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:16 +0100] "GET /wp-admin/css/colors-fresh.css?ver=3.4.2 HTTP/1.1" 304 175 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:16 +0100] "GET /wp-admin/images/wpspin_light.gif HTTP/1.1" 200 2472 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:16 +0100] "GET /wp-content/plugins/exec-php/js/admin.js?ver=3.4.2 HTTP/1.1" 200 3207 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:16 +0100] "GET /wp-admin/images/media-button.png?ver=20111005 HTTP/1.1" 200 3395 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:16 +0100] "GET /wp-includes/css/editor.css?ver=3.4.2 HTTP/1.1" 200 44141 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:16 +0100] "GET /wp-admin/load-scripts.php?c=0&load=sack,jquery,utils&ver=3.4.2 HTTP/1.1" 200 100679 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:16 +0100] "GET /wp-admin/load-styles.php?c=0&dir=ltr&load=wp-jquery-ui-dialog&ver=3.4.2 HTTP/1.1" 200 3621 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:16 +0100] "GET /wp-admin/load-styles.php?c=0&dir=ltr&load=admin-bar,wp-admin,wp-pointer&ver=3.4.2 HTTP/1.1" 200 123044 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:19 +0100] "GET /wp-admin/images/menu-shadow.png HTTP/1.1" 200 407 "http://www.seowriter.de/wp-admin/css/colors-fresh.css?ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:16 +0100] "GET /wp-admin/load-scripts.php?c=0&load=admin-bar,hoverIntent,common,jquery-color,wp-ajax-response,wp-lists,quicktags,jquery-query,admin-comments,jquery-ui-core,jquery-ui-widget,jquery-ui-mouse,jquery-ui-sortable,postbox,dashboard,thickbox,plugin-install,media-upload,jquery-ui-position,wp-pointer,word-count,jquery-ui-resizable,jquery-ui-draggable,jquery-ui-button,jquery-ui-dialog,wpdialogs,wplink,wpdialogs-popup&ver=3.4.2 HTTP/1.1" 200 182460 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:19 +0100] "GET /wp-includes/images/admin-bar-sprite.png?d=20111130 HTTP/1.1" 200 4277 "http://www.seowriter.de/wp-admin/load-styles.php?c=0&dir=ltr&load=admin-bar,wp-admin,wp-pointer&ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:19 +0100] "GET /wp-admin/images/white-grad.png HTTP/1.1" 200 486 "http://www.seowriter.de/wp-admin/css/colors-fresh.css?ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:19 +0100] "GET /wp-admin/images/menu.png?ver=20120201 HTTP/1.1" 200 13865 "http://www.seowriter.de/wp-admin/css/colors-fresh.css?ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:19 +0100] "GET /wp-admin/images/arrows.png HTTP/1.1" 200 771 "http://www.seowriter.de/wp-admin/css/colors-fresh.css?ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:19 +0100] "GET /wp-admin/images/icons32.png?ver=20111206 HTTP/1.1" 200 13721 "http://www.seowriter.de/wp-admin/css/colors-fresh.css?ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:19 +0100] "POST /wp-admin/admin-ajax.php HTTP/1.1" 200 298 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:21 +0100] "GET /wp-includes/js/thickbox/loadingAnimation.gif HTTP/1.1" 200 6165 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:21 +0100] "GET /wp-includes/images/xit.gif HTTP/1.1" 200 458 "http://www.seowriter.de/wp-admin/load-styles.php?c=0&dir=ltr&load=admin-bar,wp-admin,wp-pointer&ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:21 +0100] "GET /wp-includes/images/icon-pointer-flag.png HTTP/1.1" 200 1060 "http://www.seowriter.de/wp-admin/load-styles.php?c=0&dir=ltr&load=admin-bar,wp-admin,wp-pointer&ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:21 +0100] "GET /wp-includes/images/arrow-pointer-blue.png HTTP/1.1" 200 1236 "http://www.seowriter.de/wp-admin/load-styles.php?c=0&dir=ltr&load=admin-bar,wp-admin,wp-pointer&ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:21 +0100] "GET /wp-admin/admin-ajax.php?action=dashboard-widgets&widget=dashboard_incoming_links HTTP/1.1" 200 525 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:22 +0100] "POST /wp-admin/admin-ajax.php HTTP/1.1" 200 318 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:22 +0100] "GET /wp-admin/admin-ajax.php?action=dashboard-widgets&widget=dashboard_plugins HTTP/1.1" 200 1300 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:25 +0100] "GET /wp-admin/theme-editor.php HTTP/1.1" 200 31442 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:22 +0100] "GET /wp-admin/admin-ajax.php?action=dashboard-widgets&widget=dashboard_secondary HTTP/1.1" 200 5186 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:25 +0100] "GET /wp-content/plugins/exec-php/css/admin.css?ver=3.4.2 HTTP/1.1" 304 173 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:25 +0100] "GET /wp-admin/css/colors-fresh.css?ver=3.4.2 HTTP/1.1" 304 174 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:25 +0100] "GET /wp-content/plugins/exec-php/js/common.js?ver=3.4.2 HTTP/1.1" 304 173 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:25 +0100] "GET /wp-content/plugins/exec-php/js/admin.js?ver=3.4.2 HTTP/1.1" 304 173 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:26 +0100] "GET /wp-admin/load-scripts.php?c=0&load=admin-bar,hoverIntent,common,jquery-color&ver=3.4.2 HTTP/1.1" 200 15418 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:25 +0100] "GET /wp-admin/load-styles.php?c=0&dir=ltr&load=admin-bar,wp-admin&ver=3.4.2 HTTP/1.1" 200 120125 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:27 +0100] "POST /wp-admin/admin-ajax.php HTTP/1.1" 200 298 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:21 +0100] "GET /wp-admin/admin-ajax.php?action=dashboard-widgets&widget=dashboard_primary HTTP/1.1" 200 465 "http://www.seowriter.de/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:33 +0100] "GET /wp-admin/images/white-grad-active.png HTTP/1.1" 200 499 "http://www.seowriter.de/wp-admin/css/colors-fresh.css?ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:33 +0100] "POST /wp-admin/theme-editor.php HTTP/1.1" 200 50775 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:34 +0100] "GET /wp-content/plugins/exec-php/css/admin.css?ver=3.4.2 HTTP/1.1" 304 173 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:34 +0100] "GET /wp-admin/css/colors-fresh.css?ver=3.4.2 HTTP/1.1" 304 174 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:34 +0100] "GET /wp-content/plugins/exec-php/js/admin.js?ver=3.4.2 HTTP/1.1" 304 173 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:34 +0100] "GET /wp-content/plugins/exec-php/js/common.js?ver=3.4.2 HTTP/1.1" 304 173 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:35 +0100] "POST /wp-admin/admin-ajax.php HTTP/1.1" 200 298 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:37 +0100] "GET /wp-admin/theme-editor.php?file=author.php&theme=twentyten HTTP/1.1" 200 31449 "http://www.seowriter.de/wp-admin/theme-editor.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:38 +0100] "GET /wp-content/plugins/exec-php/css/admin.css?ver=3.4.2 HTTP/1.1" 304 173 "http://www.seowriter.de/wp-admin/theme-editor.php?file=author.php&theme=twentyten" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:38 +0100] "GET /wp-admin/css/colors-fresh.css?ver=3.4.2 HTTP/1.1" 304 174 "http://www.seowriter.de/wp-admin/theme-editor.php?file=author.php&theme=twentyten" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:38 +0100] "GET /wp-content/plugins/exec-php/js/common.js?ver=3.4.2 HTTP/1.1" 304 173 "http://www.seowriter.de/wp-admin/theme-editor.php?file=author.php&theme=twentyten" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:38 +0100] "GET /wp-content/plugins/exec-php/js/admin.js?ver=3.4.2 HTTP/1.1" 304 173 "http://www.seowriter.de/wp-admin/theme-editor.php?file=author.php&theme=twentyten" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:38 +0100] "POST /wp-admin/admin-ajax.php HTTP/1.1" 200 298 "http://www.seowriter.de/wp-admin/theme-editor.php?file=author.php&theme=twentyten" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:42 +0100] "GET /wp-admin/images/button-grad-active.png HTTP/1.1" 200 561 "http://www.seowriter.de/wp-admin/css/colors-fresh.css?ver=3.4.2" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:42 +0100] "POST /wp-admin/theme-editor.php HTTP/1.1" 302 486 "http://www.seowriter.de/wp-admin/theme-editor.php?file=author.php&theme=twentyten" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:43 +0100] "GET /wp-admin/theme-editor.php?file=author.php&theme=twentyten&scrollto=3679&updated=true HTTP/1.1" 200 55148 "http://www.seowriter.de/wp-admin/theme-editor.php?file=author.php&theme=twentyten" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:44 +0100] "GET /wp-admin/css/colors-fresh.css?ver=3.4.2 HTTP/1.1" 304 174 "http://www.seowriter.de/wp-admin/theme-editor.php?file=author.php&theme=twentyten&scrollto=3679&updated=true" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:44 +0100] "GET /wp-content/plugins/exec-php/css/admin.css?ver=3.4.2 HTTP/1.1" 304 173 "http://www.seowriter.de/wp-admin/theme-editor.php?file=author.php&theme=twentyten&scrollto=3679&updated=true" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:44 +0100] "GET /wp-content/plugins/exec-php/js/common.js?ver=3.4.2 HTTP/1.1" 304 173 "http://www.seowriter.de/wp-admin/theme-editor.php?file=author.php&theme=twentyten&scrollto=3679&updated=true" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:45 +0100] "GET /wp-content/plugins/exec-php/js/admin.js?ver=3.4.2 HTTP/1.1" 304 173 "http://www.seowriter.de/wp-admin/theme-editor.php?file=author.php&theme=twentyten&scrollto=3679&updated=true" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:45 +0100] "POST /wp-admin/admin-ajax.php HTTP/1.1" 200 298 "http://www.seowriter.de/wp-admin/theme-editor.php?file=author.php&theme=twentyten&scrollto=3679&updated=true" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:49 +0100] "GET /wp-content/themes/twentyten/author.php HTTP/1.1" 200 338 "-" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:44:57 +0100] "POST /wp-content/themes/twentyten/author.php HTTP/1.1" 200 28504 "http://www.seowriter.de/wp-content/themes/twentyten/author.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:45:01 +0100] "POST /wp-content/themes/twentyten/author.php HTTP/1.1" 200 31306 "http://www.seowriter.de/wp-content/themes/twentyten/author.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:45:06 +0100] "POST /wp-content/themes/twentyten/author.php HTTP/1.1" 200 12503 "http://www.seowriter.de/wp-content/themes/twentyten/author.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:45:09 +0100] "POST /wp-content/themes/twentyten/author.php HTTP/1.1" 200 12714 "http://www.seowriter.de/wp-content/themes/twentyten/author.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:45:10 +0100] "POST /wp-content/themes/twentyten/author.php HTTP/1.1" 200 31306 "http://www.seowriter.de/wp-content/themes/twentyten/author.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:45:16 +0100] "POST /wp-content/themes/twentyten/author.php HTTP/1.1" 200 10294 "http://www.seowriter.de/wp-content/themes/twentyten/author.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" s4-0-11.murragg01.newvoicetel.net - - [13/Mar/2013:13:45:21 +0100] "POST /wp-content/themes/twentyten/author.php HTTP/1.1" 200 10396 "http://www.seowriter.de/wp-content/themes/twentyten/author.php" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0.1" Da nur der aufgelöste Hostname in den Logs stand habe ich per Whois IP bei http://www.heise.de/netze/tools/whois/ den IP Inhaber ermittelt und eine Nachricht an die Abuse-Emailadresse gesendet, damit die entsprechende Maßnahmen gegen den Angreifer unternehmen können. Eine Anzeige habe ich mir gespart. Die dürfte in 99,999% der Fälle eh nichts bringen. Wer will kann es aber gerne versuchen. An Hand der Logs konnte ich leicht erkennen, dass der Angreifer in der Lage war sich einzuloggen. Er hat also das Passwort. Daraufhin bin ich in den Adminbereich und habe festgestellt, dass ich zwei Admin-Accounts hatte. Einen Admin und einen Test und letzterer wird vermutlich kein gutes Passwort gehabt haben. Dummheit wird eben bestraft. Da ich seit dem Angriff nichts in dem Blog verändert habe, habe ich einfach den kompletten Datensatz mit dem aus dem Backup überschrieben. Dann habe ich den Testaccount bzw. eigentlich habe ich sogar alle Accounts entfernt. Registrierte Nutzer hatte ich eh keine. Daher auch gleich die entsprechende Einstellung "Einstellungen -> Allgemein -> Jeder kann sich registrieren" deaktiviert. 2013-04-15 13_57_24-Einstellungen › Allgemein ‹ SEO Blog - Suchmaschinenoptimierung & -marketing — W.png - Angeschaut: 2347 mal Gefällt mir Teilen twittern Verfasst am: 15.04.2013, 12:04 zitieren Das Passwort vom Admin habe ich dann vorsichtshalber noch mal gegen ein zufälliges neues ersetzt. Außerdem habe ich zusätzlich per .htpasswd einen Verzeichnisschutz auf das Admin-Verzeichnis gesetzt: http://www.htpasswdgenerator.de/ Der Login dazu ist wieder ein anderer. D.h. um in den Adminbereich zu kommen muss man jetzt schon zwei Logins knacken. Zuletzt habe ich die Zugriffssperre aus der .htaccess wieder entfernt. Blog läuft also wieder. Ich habe auch mal die Logs aus den Tagen nach dem Angriff bis zum Einspielen des Backups gesichtet. Der Trojaner wurde glücklicherweise nicht abgerufen, es wurde also niemand geschädigt. Glück gehabt. Wer mal sehen möchte wie viele Bruteforce-Attacken so auf den Wordpress Blog einhageln, kann ja mal den folgenden Code in der wp-login.php einbauen (möglichst ganz oben, Emailadresse anpassen!): `if (isset($_POST['log'] && $_POST['log'] == 'admin') { mail('mail@example.org', 'Loginversuch', print_r($_POST, true) . print_r($_SERVER, true) . print_r($_GET, true)); }` Ich zähle pro Tag ca. 100 Angriffe mit immer wieder neuen Passwort-Kombinationen. 1x bearbeitet
▲	pn email

programmierer-forum.de Gast	15.04.2013, 12:04 zitieren Mach mit! Wenn Dir die Beiträge zum Thread "Wordpress Blogs werden per Bruteforce angegriffen" gefallen haben oder Du noch Fragen hast oder Ergänzungen machen möchtest, solltest Du Dich gleich bei uns anmelden: Registrierte Mitglieder genießen die folgenden Vorteile: ✔ kostenlose Mitgliedschaft ✔ keine Werbung ✔ direkter Austausch mit Gleichgesinnten ✔ neue Fragen stellen oder Diskussionen starten ✔ schnelle Hilfe bei Problemen ✔ Bilder und Videos hochladen ✔ und vieles mehr...
▲

	Re: √	Letzter Beitrag
Google zeigt keinen Suchoptionen-Filter mehr für Diskussionen und Blogs an?! Was soll das denn jetzt? Ich suche häufig gezielt nach Diskussionen und Blogs, weil die Google Ergebnisse sonst ziemlichen Müll anzeigen, wenn man Google die Reihenfolge überlässt. Jetzt kann ich aber nicht mal mehr das... von mgutt	0 281	28.01.2014, 09:22 mgutt
WordPress Entwickler:in \| 99° Bewerben Sie sich bis zum 15.06.2023. Jetzt bewerben! Zur Stellenanzeige auf Mein IT Job Ihre Bewerbung richten Sie bitte ausschließlich an die ausgeschriebene Firma. ________ 99° ist eine Designagentur in Wiesbaden mit 15 Mitarbeitern. Wir bieten... [Jobs & Stellenangebote]von kimjob	0 84	26.04.2023, 17:56 kimjob
Wordpress Ninja (m/w) Unser Klient ist eine aufstrebende Agentur aus Hamburg, die es versteht, ihren Kunden hinsichtlich ihres Webauftrittes sowie der Unternehmensdarstellung immer wieder neue, innovative Ideen präsentieren zu können. Dieses Angebot rundet weiterhin eine... [Jobs & Stellenangebote]von Martycareer	0 360	25.04.2014, 08:02 Martycareer
Werkstudent im Bereich PHP/Wordpress Ort: Hamburg Unser Mandant ist die Full-Service-Agentur für OnlineTV Marketing – unabhängig und netzwerkübergreifend. OnlineTV ist für das Unternehmen modernes und zukunftsweisendes Entertainment – die fortwährende Professionalisierung des Werbemarktes... [Jobs & Stellenangebote]von Martycareer	0 381	21.03.2014, 14:29 Martycareer
Webentwickler / in mit Schwerpunkt WordPress Webentwickler / in mit Schwerpunkt WordPress Web International Services Ltd. Ort: Auf Malta in St. Julians Beginn: Zum nächstmöglichen Termin Anstellungsverhältnis: Vollzeit Berufserfahrung: Mit mindestens 2 Jahren Berufserfahrung Wir entwickeln... [Jobs & Stellenangebote]von 1000jobboersen.de	0 302	23.04.2015, 12:59 1000jobboersen.de
Hackerangriff in Wordpress? Ich kann helfen! Falls jemand einen gehackten Wordpress Blog hat und nicht weiter weiß, dann kann ich helfen. Der Aufwand lag bei meinen bisherigen Kunden bei max. 3 Stunden. D.h. 150,- € zzgl. Steuer. Wie ich dabei vorgehe: - Seite wird offline genommen - FTP Dateien... [PHP]von mgutt	0 569	21.10.2016, 23:52 mgutt
Prakitkum im Bereich Ruby & Wordpress Ort: Hamburg Unser Mandant ist die Full-Service-Agentur für YouTube Marketing – unabhängig und netzwerkübergreifend. OnlineTV ist für das Unternehmen modernes und zukunftsweisendes Entertainment – die fortwährende Professionalisierung des Werbemarktes... [Jobs & Stellenangebote]von Martycareer	0 254	06.12.2013, 15:47 Martycareer
Suchen TYPO3 WordPress - Webentwickler (m/w) Zur Verstärkung unseres Teams suchen wir zum nächstmöglichen Zeitpunkt eine oder einen erfahrenen Webentwickler m/w. Dein Aufgabenprofil: -Entwicklung von Web-Anwendungen -Templating -Konzeption und Architektur von Web-Projekten -Sehr gute Kenntnisse in... [Jobs & Stellenangebote]von Twenty2Media	0 571	10.04.2013, 10:38 Twenty2Media
Praktikum im Bereich Ruby & Wordpress (m/w) Unser Mandant ist die Full-Service-Agentur für YouTube Marketing – unabhängig und netzwerkübergreifend. OnlineTV ist für das Unternehmen modernes und zukunftsweisendes Entertainment – die fortwährende Professionalisierung des Werbemarktes und der Inhalte... [Jobs & Stellenangebote]von Martycareer	0 221	11.02.2014, 11:53 Martycareer
Prakitkum im Bereich Ruby & Wordpress Unser Mandant ist die Full-Service-Agentur für YouTube Marketing – unabhängig und netzwerkübergreifend. OnlineTV ist für das Unternehmen modernes und zukunftsweisendes Entertainment – die fortwährende Professionalisierung des Werbemarktes und der Inhalte... [Jobs & Stellenangebote]von Martycareer	0 307	25.10.2013, 12:00 Martycareer