nein… nicht mein wordpress wurde gehackt, sondern das eines anderen. ich hab nur ein bischen analysiert und so…
das ergebnis war, dass der webserver permanent spammails rausgeschickt hat. aufgefallen ist es dadurch, dass die boesen buben keine spezielle mailadresse als absender benutzt haben, sondern die des wordpress users. dieser bekam dann haufenweise bouncemails und wurde (zu recht) misstrauisch. die logfileanalyse brachte zu tage, dass die angreifer sich mit einer laengeren bruteforce attacke zugriff verschafften und dann mit dem eingebauten theme editor die datei 404.php modifizierten. diese wurde dann permanent aufgerufen (/wp-content/themes/twentyten/404.php?kak) um spammails zu verschicken. man beachte das “kak” am ende… das ist echt mal kacke 😉
wie man anhand des screenshots erkennen kann, kann man den code noch fuer viel mehr gebrauchen… (klick zum vergroessern)
das installierte wordpress hatte natuerlich nicht die aktuellste version. wobei ich bezweifle, dass das in diesem fall geholfen haette.
neben vernuenftigen, langen passwoertern sollte man auch plugins wie z.b. Limit Login Attempts installieren. dieses plugin sperrt den login fuer eine einstellbare zeit nach einer anzahl fehlgeschlagener logins. auf wunsch gibts auch eine benachrichtigung per email. so ein plugin bietet sicherlich keinen 1005igen schutz, wird aber einen angriff hoffentlich erschweren und keine sicherheitsluecken mitbringen 😉
Gleich mal das Plugin installiert!
brav 😉