Zum Inhalt springen Skip to navigation

Webrocker Blog

Archiv für "Security" (Seite 5)

WordPress Artikel-Wurm und Plugin dagegen

Link to post WordPress Artikel-Wurm und Plugin dagegen

Vor einigen Tagen machte die Nachricht von einem WordPress-Wurm die Runde. Der Wurm pflanzt einen Code-Abschnitt in die header.php des Templates und sorgt damit für unerwünschte Spamlinks in der Blogroll. Jetzt gibt es ein WordPress Anti-Virus-Plugin, das die Template Dateien auf eventuelle Manipulationen hin überprüft und gegebenenfalls eine Warnung abgibt. Das AntiVirus-Plugin durchsucht aktive Templates…


Angriff auf Mac OS X möglich, ohne Spuren zu hinterlassen?

Link to post Angriff auf Mac OS X möglich, ohne Spuren zu hinterlassen?

Es wird zugig im bislang so kuscheligen Mac-Häuschen. Wie heise.de heute berichtet, scheint es einen Weg zu geben (...) eine Binärdatei komplett so im Speicherbereich des zu kompromittierenden Programms auszuführen, dass die Festplatte nicht verändert wird. Damit wären zB Virenschutzprogramme, die nach Veränderungen auf der Festplatte suchen, aussen vor. Ausserdem soll sich Die Technik auch…


Mac-Trojaner im Umlauf?

Link to post Mac-Trojaner im Umlauf?

Anscheinend hat sich ein Bösewicht Apple-Rechner als Ziel eines Trojanerangriffs ausgesucht, so meldet es zumindestens das Mac-Fachmagazin spiegelOnline* heute Abend: Der Trojaner namens OSX.Trojan.iServices.A versteckt sich in einer Raubkopie. Erst seit wenigen Tagen ist iWork 09, die neue Bürosoftware von Apple, überhaupt lieferbar, schon wird sie als Vehikel zur Verbreitung von Schadsoftware genutzt. Betroffen sind…


Schon wieder eine neue WordPress Version: 2.6.2

Link to post Schon wieder eine neue WordPress Version: 2.6.2

Kurz nach dem Erscheinen der Version 2.6.1 gibt es nun die Version 2.6.2, die vor allem für Blogs mit "jeder darf sich registrieren"-Funktionalität empfohlen wird. Erst kürzlich hatte Stefan Esser auf seiner Seite auf die Möglichkeit einer "SQL Column Truncation" Lücke und Schwachstellen der PHP-Funktion "mt_rand()" hingewiesen. Zusammen mit den WP-Entwicklern wurde daran gearbeitet, diese…


DIY: Post-Requests mitloggen

Link to post DIY: Post-Requests mitloggen

Um frühzeitig dahinter zu kommen, ob eine Spamwelle anrollt oder ein neuer Exploit ausgenutzt wird, ist es hilfreich, die Server-Logfiles zu Rate zu ziehen. Wenn auf einmal SQL-Statements oder Javascript-Code oder Verweise auf externe Scripte in Variablen-Werten auftauchen kann man davon ausgehen, dass da gerade jemand versucht, per SQL-Injection, XSS oder sonstwie das Blog zu…


WordPress Hackereien, revisited 2

Link to post WordPress Hackereien, revisited 2

Ich kann jeden WordPressanwender nur *eindringlichst* empfehlen, auf die neueste Version (en|de) zu aktualisieren. Im Zuge der Nachforschungen zu den momentanen WP-Exploits bin ich über dieses Ticket auf trac.wordpress.org gestolpert. Darin wird erläutert, wie einfach ein Angreifer auf älteren WordPress-Installationen an eine User/Password Kombination herankommt: (...) With read-only access to the WordPress database, it is…


WordPress Hackereien Revisited

Link to post WordPress Hackereien Revisited

Gestern abend und heute früh habe ich noch ein paar sehr interessante Infos und Links zu den momentan kursierenden WordPress Exploits gefunden und zunächst hatte ich sie als Update an meinen ursprünglichen Post gehängt. Nach kurzer Überlegung bin ich aber zum Schluss gekommen, dass diese Infos zu wichtig sind, um sie in einem älteren Post…


WordPress Hackereien

Link to post WordPress Hackereien

In letzter Zeit fallen mir immer mehr WP-Blogs auf, die als Spam-Link-Schleudern missbraucht werden, zuletzt hatte es Jojos Beetlebum erwischt. Aber auch das Law-Blog und andere wurden schon attackiert. Dabei gelingt es dem Angreifer, Inhalte an das Blog oder an einen Beitrag anzuhängen, durch Einsatz von CSS-Attributen werden diese Inhalte aber "versteckt", so dass sie…


WordPress 2.3.2 Security Update

Link to post WordPress 2.3.2 Security Update

Kurz vor Jahresende kommt noch mal ein "urgend security update" des 2.3er WordPress-Branches heraus. Bislang ist nur die originale englische Version erhältlich, aber die angepasste deutsche Version dürfte, wie in der Vergangenheit auch, sehr zeitnah auf WordPress-Deutschland zum Download angeboten werden. Das Update wird wieder einmal dringend empfohlen, weil es mehrere kritische Lücken stopft, wie…


WordPress Blogroll Spam Exploit

Link to post WordPress Blogroll Spam Exploit

Es ist eine neue Lücke in WordPress aufgetaucht, die es möglich macht, dass fremde Links in die Blogroll eingebaut werden. Betroffen sind die Versionen 2.1 bis zur aktuellesten, 2.3. Im WordPress-Repository sind bereits Patches für 2.2x und 2.3 eingebaut, eine aktualisierte WP Version ist aber offiziell noch nicht veröffentlicht.


Übrigens...

Link to post Übrigens...

... morgen treten die neuen "Hacker-Paragraphen" in Kraft. Also, wer sein System gegen Eindringlinge selbst testen möchte, sollte das noch heute machen, ab morgen ist das nämlich illegal, genauso wie das Aufzeigen von Sicherheitslücken mit Proof-Of-Concept.


WordPress Security

Link to post WordPress Security

WordPress ist mittlerweile eines der am häufigsten eingesetzten Blog-Systeme, was nicht zuletzt daran liegt, dass es auch für webtechnisch eher ungeübte Anwender sehr einfach zu installieren und zu bedienen ist. Ausserdem ist es durch die Plugin-Architektur extrem erweiterbar und lässt sich so für fast jedes Webseiten-Projekt verwenden. Mit der zunehmenden Beliebtheit des Systems rückt es…