What they did is illegal. The damage? For me minor, since I had
backups, but ordinary people wouldn't know how to fix a hacked
header.php in a WordPress theme
I've reported the incident to Surftown: _Mit site blev hacket
den 28-3-2008 kl. 02:21 - skal det anmeldes til politiet? Mit site
blev hacket den 28-3-2008 kl. 02:21, kan jeg se af timestamps. Jeg
gætter på at der er udnyttet en svaghed i WordPress når man
anvender den indbyggede online fileeditor til temaer. Det var
header.php i wp-content/themes/kimsfault det blev ændret. Jeg har
en kopi af den hackede fil liggende, den hedder header.hack.php.
Der er tale om en 103KB samling af spam links.
Jeg tror det er en robot der har lavet det, det var YDERST
ubehjælpeligt udført.
Der er jo ingen tvivl om at der er foregået en kriminel
handling, og som sådan bør den jo anmeldes til politiet._
Der er som sådan ikke foregået en ulovlighed da der blot er
blevet lagt et indlæg fra brugersiden i dit wordpress.
At indholdet så er spam er selvfølgeligt beklageligt.
En optimal løsning er at implementere et kontrolspørgsmål på
alle de steder der er interaktivt for brugere, f.eks.
kommentarindlæg eller gæstebøger osv.
det har jeg ikke, jeg er sikker på at der er anvendt en
usikkerhed i WordPress, og så det faktum at jeg havde SKRIVE adgang
til filerne - dumt - jeg ved det - men der er foregået noget
ulovligt, og da jeg er sikker på det var en robot, burde i kunne
checke logfilerne, det er en ret distinkt fil der blev lagt på
103KB spamlinks.
jeg beder om et godt råd, skal den slags politianmeldes eller
skal vi finde i os i den slags?
Nej, der er ikke så meget at gøre ved det ud over at prøve at
sikre dig bedre, som min kollega skrev tidligere.
*Kim Bach til support 13.19 (37 minutter siden) * Jeg antager at
jeg kan få hjælp med kontrol af logfiler når jeg har en idé om
hvilken IP der var tale om
Jeg tvivler på, at det er decideret ulovligt -
men forsikringsselskabet vil helt sikkert blive stram i betrækket i
en sådan situation, hvis der sker noget med bilerne. I og for sig
kunne der opstå et interessant problem omkring ansvaret for evt.
krænkende ytringer på en hacket side.
Interessant: Citat fra færdselsloven: Stk. 4. Når føreren af
et køretøj forlader dette, skal det sikres, at køretøjet ikke kan
sætte i gang af sig selv. Føreren skal endvidere træffe
foranstaltninger for at sikre, at køretøjet ikke uberettiget kan
benyttes af andre. Påbudt anordning til tyverisikring skal være sat
i funktion. Trafikministeren kan fastsætte bestemmelser om, hvilke
typer låseanordninger der skal anvendes.
Det viser sig at der tale om en velkendt fejl i WordPress 2.1.2,
og sørme om ikke Technorati er så flinke at sende en mail til alle
der er på ramte WordPress versioner, de skriver at de vil holde op
med at indeksere WordPress blogs der er på den version, så nu går
der næppe længe før jeg er på 2.5 nu ;-) - Det får mig egentlig til
at overveje om jeg orker at hoste min blog selv, hvad skal man
egentlig med et domæne?
...men det sætter jo Surftowns support i relief, jeg synes jo de
skulle have tilbudt deres kunder samme service som Technorati
gør:
Dear Kim Bach,
I hate automated messages as much as anybody, however there is a
situation that concerns thousands of bloggers. I'm contacting you
regarding information related to your Technorati profile
(http://technorati.com/people/technorati/kimbach) and the blog
you've claimed on Technorati http://www.kimbach.org
According to our data, that blog is running a version of
Wordpress that may be suffering from a security vulnerability. See
http://wordpress.org/development/2008/02...
The version we have on record is WordPress 2.1.2
Blogs are being compromised via this vulnerability on widespread
scale. The most common symptom of a compromised blog is the
presence of links to spam web sites inserted in the blog that are
obscured by style attributes that render the text invisible but are
still seen by crawlers such as Technorati's, Google's and Yahoo's.
You can find these links by viewing the source of the blog pages
or, when using Firefox, looking under "Tools" -> "Page Info"
-> "Links"
The impact of these spam links that may be unwittingly placed on
your blog are reduced rankings or being flagged as spam. We're
discontinuing processing updates from blogs that exhibit symptoms
of being compromised. If your blog has been upgraded already and
this message no longer applies to you, please accept my
apologies.
Tjah - hvis du vil lade WordPress tage hånd om opdateringerne
men beholde kimbach.org, findes muligheden SVJF
http://wordpress.com/blog/2006/10/24/dom... - men en
ikke-tekniker som jeg har nu ikke oplevet det som så belastende at
opdatere en blog som ligger på eget hotel.
38 comments so far
Depends on the damage done?
5 months ago by DanSonnePedersen.
What they did is illegal. The damage? For me minor, since I had backups, but ordinary people wouldn't know how to fix a hacked header.php in a WordPress theme
5 months ago by kimbach.
Well, the host ought to be notified in any event.
5 months ago by jacobchristensen.
The problem, I believe, has to do with a vounerability in WordPress. It's probably fixed, but I'm on 2.1 ALWAYS patch....
5 months ago by kimbach.
Ah, yes. Time to go 2.5
5 months ago by jacobchristensen.
And MY stupidity. Do NOT use the file editor (a shame since I love it :-()
5 months ago by kimbach.
What file editor?
5 months ago by larskjensen.
You can edit theme files online, I did that a lot some months ago, but I forgot to rewoke the access rights afterwards
5 months ago by kimbach.
Ah yes, that file editor, use it all of the time. Just wasn't sure what you meant :-)
5 months ago by larskjensen.
I get that a lot ;-)
5 months ago by kimbach.
I've reported the incident to Surftown: _Mit site blev hacket den 28-3-2008 kl. 02:21 - skal det anmeldes til politiet? Mit site blev hacket den 28-3-2008 kl. 02:21, kan jeg se af timestamps. Jeg gætter på at der er udnyttet en svaghed i WordPress når man anvender den indbyggede online fileeditor til temaer. Det var header.php i wp-content/themes/kimsfault det blev ændret. Jeg har en kopi af den hackede fil liggende, den hedder header.hack.php. Der er tale om en 103KB samling af spam links.
Jeg tror det er en robot der har lavet det, det var YDERST ubehjælpeligt udført.
Der er jo ingen tvivl om at der er foregået en kriminel handling, og som sådan bør den jo anmeldes til politiet._
5 months ago by kimbach.
Flot Surftown! Hej Kim,
Der er som sådan ikke foregået en ulovlighed da der blot er blevet lagt et indlæg fra brugersiden i dit wordpress.
At indholdet så er spam er selvfølgeligt beklageligt.
En optimal løsning er at implementere et kontrolspørgsmål på alle de steder der er interaktivt for brugere, f.eks. kommentarindlæg eller gæstebøger osv.
Best regards / Cordialement / Freundliche Grüße / Venlige hilsener / Vänliga hälsningar / Vennlig hilsen
4 months, 4 weeks ago by kimbach.
Kim Bach til Surftown support:
det er IKKE korrekt, der var fra ADMIN siden!
en robot loggede på min admin side og brugte WordPress indbyggede filditor til at overskrive en fil i mit tema! det er lige nummeret værere end spam!
4 months, 4 weeks ago by kimbach.
Det bliver en spændende følgeton at følge, det her -- og hey, vi er slået over i dansk :-)
4 months, 4 weeks ago by larskjensen.
Hej Kim,
Hvis du har brugt et meget trivielt password til din admin tilgang i wordpress er det meget muligt at en bot har fået adgang og ændret dine filer.
Om du ønsker at politimelde dette er helt op til dig selv.
4 months, 4 weeks ago by kimbach.
det har jeg ikke, jeg er sikker på at der er anvendt en usikkerhed i WordPress, og så det faktum at jeg havde SKRIVE adgang til filerne - dumt - jeg ved det - men der er foregået noget ulovligt, og da jeg er sikker på det var en robot, burde i kunne checke logfilerne, det er en ret distinkt fil der blev lagt på 103KB spamlinks.
jeg beder om et godt råd, skal den slags politianmeldes eller skal vi finde i os i den slags?
hvad er rutinen? ingenting tilsyneladende!
4 months, 4 weeks ago by kimbach.
Her slutter den så nok: Hej Kim
Tak for din mail.
Nej, der er ikke så meget at gøre ved det ud over at prøve at sikre dig bedre, som min kollega skrev tidligere.
*Kim Bach til support 13.19 (37 minutter siden) * Jeg antager at jeg kan få hjælp med kontrol af logfiler når jeg har en idé om hvilken IP der var tale om
4 months, 4 weeks ago by kimbach.
Men i det mindste blev den sendt videre til en mere erfaren supporter...
4 months, 4 weeks ago by kimbach.
Det gjorde det så ikke...
Hej Kim
Jeg ved ikke helt hvad det er for en information du vil have fra vores logfiler?
Bemærk at vi ikke må give oplysninger uden en retskendelse.
4 months, 4 weeks ago by kimbach.
Jeg er så blevet gjort opmærksom på at det jeg har gjort svarer til at efterlade en bil ulåst med nøglerne i, og at det skulle være ulovligt...Hmm...
4 months, 4 weeks ago by kimbach.
Jeg tvivler på, at det er decideret ulovligt - men forsikringsselskabet vil helt sikkert blive stram i betrækket i en sådan situation, hvis der sker noget med bilerne. I og for sig kunne der opstå et interessant problem omkring ansvaret for evt. krænkende ytringer på en hacket side.
4 months, 4 weeks ago by jacobchristensen.
Interessant: Citat fra færdselsloven: Stk. 4. Når føreren af et køretøj forlader dette, skal det sikres, at køretøjet ikke kan sætte i gang af sig selv. Føreren skal endvidere træffe foranstaltninger for at sikre, at køretøjet ikke uberettiget kan benyttes af andre. Påbudt anordning til tyverisikring skal være sat i funktion. Trafikministeren kan fastsætte bestemmelser om, hvilke typer låseanordninger der skal anvendes.
4 months, 4 weeks ago by kimbach.
hm, gælder noget lignende cykler?
4 months, 4 weeks ago by Willumsgaard20.
Skulle i øvrigt hilse og sige tak fra Flora og Sophus. Der var lige, så de hver kunne få et stykke pizza med i skole.
4 months, 4 weeks ago by Willumsgaard20.
Ja, det er godt nok nogle søde børn. Får en til at genoverveje sine valg her i livet, og det styrker ens tro på fremtiden :-D
4 months, 4 weeks ago by kimbach.
:-D Det er kun, når der er fremmede tilstede!
4 months, 4 weeks ago by Willumsgaard20.
Ha ha...Så er det godt du har gæster tit...
4 months, 4 weeks ago by kimbach.
ja, det er et godt incitament til at invitere...
4 months, 4 weeks ago by Willumsgaard20.
@kimbach Det mærkes, at jeg aldrig har gidet tage kørekort. Så er der self. spørgsmålet om uagtsomhed.
4 months, 4 weeks ago by jacobchristensen.
Samme her. Prøvede for 3 år siden.. Min yderst rutinerede kompagnon kunne ikke bestå den virtuelle teori. Loven er alt andet end intuitiv.
4 months, 4 weeks ago by kimbach.
Lovens ord er udtryk for "dummere end politiet tillader". Passer vist meget godt...
4 months, 4 weeks ago by kimbach.
Det viser sig at der tale om en velkendt fejl i WordPress 2.1.2, og sørme om ikke Technorati er så flinke at sende en mail til alle der er på ramte WordPress versioner, de skriver at de vil holde op med at indeksere WordPress blogs der er på den version, så nu går der næppe længe før jeg er på 2.5 nu ;-) - Det får mig egentlig til at overveje om jeg orker at hoste min blog selv, hvad skal man egentlig med et domæne?
4 months, 3 weeks ago by kimbach.
...men det sætter jo Surftowns support i relief, jeg synes jo de skulle have tilbudt deres kunder samme service som Technorati gør:
Dear Kim Bach,
I hate automated messages as much as anybody, however there is a situation that concerns thousands of bloggers. I'm contacting you regarding information related to your Technorati profile (http://technorati.com/people/technorati/kimbach) and the blog you've claimed on Technorati http://www.kimbach.org
According to our data, that blog is running a version of Wordpress that may be suffering from a security vulnerability. See http://wordpress.org/development/2008/02... The version we have on record is WordPress 2.1.2
Blogs are being compromised via this vulnerability on widespread scale. The most common symptom of a compromised blog is the presence of links to spam web sites inserted in the blog that are obscured by style attributes that render the text invisible but are still seen by crawlers such as Technorati's, Google's and Yahoo's. You can find these links by viewing the source of the blog pages or, when using Firefox, looking under "Tools" -> "Page Info" -> "Links"
The impact of these spam links that may be unwittingly placed on your blog are reduced rankings or being flagged as spam. We're discontinuing processing updates from blogs that exhibit symptoms of being compromised. If your blog has been upgraded already and this message no longer applies to you, please accept my apologies.
For WordPress support, I recommend checking the forums at http://wordpress.org/support/ I will be monitoring this topic in the Technorati Support forum to be of additional help: http://support.technorati.com/discussion...
Thank You!
4 months, 3 weeks ago by kimbach.
Tjah - hvis du vil lade WordPress tage hånd om opdateringerne men beholde kimbach.org, findes muligheden SVJF http://wordpress.com/blog/2006/10/24/dom... - men en ikke-tekniker som jeg har nu ikke oplevet det som så belastende at opdatere en blog som ligger på eget hotel.
4 months, 3 weeks ago by jacobchristensen.
Næh, men er det egentlig besværet værd at gøre det selv?
4 months, 3 weeks ago by kimbach.
Alternativet er at lade kimbach.org være en ren feed-container, og så flytte hosting af indhold til f.eks. wordpress.com eller blogspot.com
4 months, 3 weeks ago by kimbach.
Alright, updated to 2.5, pretty straight-forward, but it is annoying that you have to do things like this
4 months, 3 weeks ago by kimbach.
Did have Akismet disabled for 2 hours, and I got 13 spam-comments! Thank God for Akismet!
4 months, 3 weeks ago by kimbach.