Websicherheit: Wie KenFM von Anonymous gehackt wurde

Die Webseite AnonLeaks berichtet, wie das Defacement von KenFM ablief: durch abrufbare Backupdaten und das Wordpress-Plugin Duplicator Pro.

Artikel von veröffentlicht am
Anonymous hat die Webseite von Ken Jebsen gehackt. Jetzt wurden Details bekannt, wie der Hack ablief.
Anonymous hat die Webseite von Ken Jebsen gehackt. Jetzt wurden Details bekannt, wie der Hack ablief. (Bild: Anonymus-ng/Wikimedia Commons/CC-BY-SA 4.0)

Auf der Webseite AnonLeaks sind Details über den Hack von KenFM veröffentlicht worden. Personen, die sich dem Anonymous-Kollektiv zurechnen, haben vor einigen Tagen die Webseite des Verschwörungsideologen Ken Jebsen übernommen und ein Defacement durchgeführt.

Stellenmarkt
  1. Fachinformatiker/in mit berufsbegleitendem Studium (Wirtschaftsinformatik o.ä.)
    Rundfunk Berlin-Brandenburg (rbb), Potsdam, Köln
  2. Teamleitung IT-Koordination und Daten Management (m/w/d)
    WSW Energie & Wasser AG, Wuppertal
Detailsuche

Laut dem Bericht fanden sich auf der mit Wordpress betriebenen Webseite mehrere Sicherheitsprobleme. Ein Wordpress-Plugin war für einen Cross-Site-Scripting-Angriff verwundbar, dies war jedoch letztendlich nicht der genutzte Angriffsvektor.

Anonymous fand auf dem Webserver ein Datenbank-Backup, dessen Dateiname - database.sql - erratbar war. Über einen ähnlichen Vorfall bei der Deutschen Post berichtete Golem.de vor einigen Jahren.

Backup-Datei führt zu Installer von Wordpress-Duplicator-Plugin

Weiterhin fand sich auf der Seite ein Backup des gesamten Webverzeichnisses. Den dazugehörigen Dateinamen verrät AnonLeaks nicht, über ähnliche Schwachstellen hat Golem.de ebenfalls in der Vergangenheit berichtet.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. PostgreSQL Fundamentals
    14.-17. September 2021, online
  3. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Diese beiden Lücken führten bereits dazu, dass Anonymous Zugriff auf den gesamten Inhalt und die Nutzerdaten der Webseite hatte. Ein Defacement ist so aber nicht direkt möglich. Die Passwörter sind bei Wordpress gehasht gespeichert. Um sie zu knacken, müsste man also einen Brute-Force-Angriff durchführen. Dieser würde nur bei schwachen Passwörtern funktionieren.

Anonymous fand in den Daten jedoch eine Datei installer.php, die zum Wordpress-Plugin Duplicator Pro gehörte. Dabei handelt es sich um ein Plugin, das einen einfachen Umzug der Seite ermöglicht. Das Plugin gibt es auch in einer kostenlosen Lite-Version, die Sicherheitsprobleme sind dabei identisch.

Durch diese Installer-Datei ließ sich ein Backup der Wordpress-Installation erneut in einem Unterverzeichnis installieren. Der Trick dabei: Bei dieser erneuten Installation kann man einen eigenen Datenbankserver angeben. Somit hatte Anonymous eine Kopie der Wordpress-Version, die eine von ihnen kontrollierte Datenbank nutzte. Dort konnte man dann die Passwort-Hashes zurücksetzen und sich einloggen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Der Rest ist vergleichsweise einfach: Über ein Wordpress-Plugin installierte Anonymous einen PHP-basierten Dateimanager, mit dem ein Vollzugriff auf den Webspace möglich war.

Offen bleibt, warum genau die Installer-Datei von Duplicator Pro an dieser Stelle lag. Das Duplicator-Plugin dient dazu, Wordpress-Installationen von einem Server auf einen anderen umzuziehen. In der alten Installation erzeugt das Plugin eine ZIP-Datei und die installer.php-Datei, die man herunterlädt und auf den neuen Server hochlädt.

Sicherheitsfirma Synacktiv warnte 2018 vor ähnlichem Angriff

2018 hatte die IT-Sicherheitsfirma Synacktiv über derartige Probleme mit dem Duplicator-Plugin berichtet. Frühere Versionen des Plugins hatten dabei versäumt, die installer.php-Datei anschließend auch zu löschen. In der aktuellen Version wird die Datei gelöscht, allerdings erst nach dem ersten Login.

Aus den Screenshots von AnonLeaks geht allerdings hervor, dass in dem Fall die installer.php-Datei nicht im Root-Verzeichnis war, sondern im Unterverzeichnis des Plugins. Auch aktuelle Versionen des Plugins legen dort eine Kopie der installer.php-Datei ab, allerdings unter einem nicht trivial erratbaren Namen. Riskant ist das allemal, wenn etwa aufgrund einer Server-Fehlkonfiguration das Verzeichnis lesbar ist oder über andere Wege ein Angreifer Kenntnis über den Dateinamen erhält.

Wer das Duplicator-Plugin - egal ob in der Pro- oder Lite-Variante - in der Vergangenheit genutzt hat, sollte sicherstellen, dass sich weder im Root-Verzeichnis des Webservers noch im Unterverzeichnis des Plugins (wp-content/backups-dup-lite oder wp-content/backups-dup-pro) Überreste des Umzugs befinden.

Der Autor dieses Artikels hat ein freies Tool namens Snallygaster entwickelt, das nach Datei-Leaks auf Servern scannt. Ein Test für Dateien wie database.sql enthielt das Tool bereits, für offen abrufbare Installer-Dateien des Duplicator-Plugins wurde ein neuer Test hinzugefügt.

Hanno Böck ist Golem-Redakteur für die Themen IT-Sicherheit und Kryptographie. Bei der Golem Akademie gibt Hanno den Workshop "IT-Sicherheit für Webentwickler". In dem zweitägigen Onlineseminar führen die Teilnehmer Angriffe auf reale Webapplikationen praktisch durch und analysieren, wie sich solche Schwachstellen schließen lassen. Für den nächsten Termin am 5./6. Juli 2021 bietet die Golem Akademie Schnellentschlossenen einen Rabatt von 20 Prozent an.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Form Energy
Eisen-Luft-Akku soll Energiespeicherprobleme lösen

Mit Geld von Bill Gates und Jeff Bezos sollen große, billige Akkus Strom für mehrere Tage speichern. Kann die Technik liefern, was sie verspricht?
Eine Analyse von Frank Wunderlich-Pfeiffer

Form Energy: Eisen-Luft-Akku soll Energiespeicherprobleme lösen
Artikel
  1. Faraday Future: Börsengang bringt eine Milliarde Dollar für Produktionsstart
    Faraday Future
    Börsengang bringt eine Milliarde Dollar für Produktionsstart

    Der FF 91 von Faraday Future soll wie geplant im kommenden Jahr auf den Markt kommen. Die Reservierung kostet bis zu 5.000 US-Dollar.

  2. Brickit ausprobiert: Lego scannen einfach gemacht?
    Brickit ausprobiert
    Lego scannen einfach gemacht?

    Mit Kamera und Bilderkennung kann Brickit Lego digital einscannen. Das ist es aber nicht, was die App so praktisch macht.
    Ein Hands-on von Oliver Nickel

  3. Puricare: LG steigt in den Markt der skurrilen Masken ein
    Puricare
    LG steigt in den Markt der skurrilen Masken ein

    Statt an Gamer soll sich LGs Puricare an Sportler richten. Die aktiven Lüfter der Atemmaske sollen auch beim Training genug Luft liefern.

Manni1 24. Jun 2021 / Themenstart

Ich bin mir nicht sicher, was bei Dir mehr greift, der Pawlowsche Speichelfluss oder doch...

Trollversteher 22. Jun 2021 / Themenstart

Neja, nur weil man sich nicht (ebenfalls in gewissen Mainstream-Kreisen gerade sehr...

Krischan7 21. Jun 2021 / Themenstart

Es liest sich ein wenig wie Lobhudelei. Es sind und bleiben gefährliche Kriminelle die in...

maniba 21. Jun 2021 / Themenstart

Wordpress hashed Passwörter, aber normal als unsalted MD-5, da braucht es keine...

ANTI-Paranoia 21. Jun 2021 / Themenstart

Die "Hacker" haben ja damit geprahlt, welche Seiten sie alle gehackt haben und das war ja...

Kommentieren



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Bosch Professional Amazon-Exklusives günstiger • Samsung G7 27" QLED Curved WQHD 240Hz 459€ • Kingston Fury 32GB Kit 3200MHz 149,90€ • 3 für 2 & Sony-TV-Aktion bei MM • New World vorbestellbar ab 39,99€ • Alternate (u. a. Deepcool RGB LED-Streifen 10,99€) • Apple Days [Werbung]
    •  /