Schleichende Spam-Epidemie unter veralteten Wordpress-Blogs

Veraltete Installationen des weit verbreiteten Blog-Systems Wordpress sind offenbar Ziel von groß angelegten Spam-Attacken. Den Angriffen ist gemein, dass die Blogs eine große Zahl unsichtbarer Spam-Links untergeschoben bekommen. Blog-Leser können den stillen HTML-Spam in der Regel nicht sehen, doch Suchmaschinen indizieren ihn wie den Rest der Seite. Mehrheitlich dienen die Angriffe somit offenbar der Suchmaschinenoptimierung. Der Betreiber der Blog-Suchmaschine Technorati sah sich daraufhin veranlasst, sämtliche Wordpress-Blogs aus dem Index zu werfen, die typische Anzeichen der Spam-Epidemie aufweisen. Auch Google ist dazu übergegangen, Blogger zu benachrichtigen, deren Blogs durch die Angriffe auf potenziell gefährliche Webseiten verweisen.

Erkennen lassen sich die Spam-Injektionen an unterschiedlichen Merkmalen. Bei einer Ende März gestarteten Injektions-Welle landeten zusätzliche Spam-Seiten in einem neu angelegten Unterverzeichnis wp-content/1. Google gibt inzwischen über 40.000 Treffer für die verräterische Pfad-Angabe an; Ende März waren es noch knapp 4.000.

Eine weitere Welle, von der auch die Blogs von ZDnet.com betroffen gewesen sein sollen, macht sich im Seitenquellcode mit einer langen Link-Liste am Seitenbeginn bemerkbar, die mit der Satzanweisung <font style='position: absolute;overflow: hidden;height: 0;width: 0'> vor dem Leser versteckt wird. Vereinzelt berichten Blogger auch davon, dass diverse Dateien ihrer geknackten Wordpress-Installationen einen zusätzlichen IFRAME enthalten, der auf eine externe Webseite verweist.

Die unbekannten Angreifer nutzen wahrscheinlich unter Anderem eine XMLRPC-Schwachstelle, die Wordpress 2.3.2 und die Vorgängerversionen betreffen. Vereinzelt berichten Wordpress-Admins, dass sich das Spam-Problem auch nach dem Upgrade auf eine nicht verwundbare, aktuelle Version wie 2.3.3 oder 2.5 fortsetzt, was jedoch auf eine Inkonsistenz beim Update der Wordpress-Datenbank zurückzuführen sei. Nach einem erzwungenen Datenbank-Update sei das Problem aber bei einem Betroffenen verschwunden.

Wer ein selbstinstalliertes Wordpress-Blog betreibt, sollte – sofern nicht bereits geschehen – umgehend auf eine aktuelle Version umsteigen und diese künftig aktuell halten. Ist es schon zu einer Spam-Injektion gekommen, ist ein Backup der Wordpress-Datenbank mit nachfolgender Neuinstallation ratsam. Anschließend sollte man im Admin-Backend noch die Nutzerliste nach Fake-Accounts durchsuchen und diese gegebenenfalls löschen.

Siehe dazu auch:

• Vulnerable WordPress Blogs Not Being Indexed, Ankündigung von Technorati
• Breaking! TailRank Exposes Massive Number Of Blogs Hacked, Analyse von Tony Hung auf Deep Jive Interests