Websicherheit: Wie KenFM von Anonymous gehackt wurde

Die Webseite AnonLeaks berichtet, wie das Defacement von KenFM ablief: durch abrufbare Backupdaten und das Wordpress-Plugin Duplicator Pro.

Artikel von veröffentlicht am
Anonymous hat die Webseite von Ken Jebsen gehackt. Jetzt wurden Details bekannt, wie der Hack ablief.
Anonymous hat die Webseite von Ken Jebsen gehackt. Jetzt wurden Details bekannt, wie der Hack ablief. (Bild: Anonymus-ng/Wikimedia Commons/CC-BY-SA 4.0)

Auf der Webseite AnonLeaks sind Details über den Hack von KenFM veröffentlicht worden. Personen, die sich dem Anonymous-Kollektiv zurechnen, haben vor einigen Tagen die Webseite des Verschwörungsideologen Ken Jebsen übernommen und ein Defacement durchgeführt.

Stellenmarkt
  1. (Senior) Expert Development (m/w/d) Backend SAP-Commerce / Hybris
    Fressnapf Holding SE, Düsseldorf
  2. IT-Projektmanager mit Schwerpunkt Anwendungsberatung / Stellv. Teamleiter IT (m/w/d)
    Kreiswerke Main-Kinzig GmbH, Gelnhausen
Detailsuche

Laut dem Bericht fanden sich auf der mit Wordpress betriebenen Webseite mehrere Sicherheitsprobleme. Ein Wordpress-Plugin war für einen Cross-Site-Scripting-Angriff verwundbar, dies war jedoch letztendlich nicht der genutzte Angriffsvektor.

Anonymous fand auf dem Webserver ein Datenbank-Backup, dessen Dateiname - database.sql - erratbar war. Über einen ähnlichen Vorfall bei der Deutschen Post berichtete Golem.de vor einigen Jahren.

Backup-Datei führt zu Installer von Wordpress-Duplicator-Plugin

Weiterhin fand sich auf der Seite ein Backup des gesamten Webverzeichnisses. Den dazugehörigen Dateinamen verrät AnonLeaks nicht, über ähnliche Schwachstellen hat Golem.de ebenfalls in der Vergangenheit berichtet.

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. PostgreSQL Fundamentals
    6.-9. Dezember 2021, online
  3. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Diese beiden Lücken führten bereits dazu, dass Anonymous Zugriff auf den gesamten Inhalt und die Nutzerdaten der Webseite hatte. Ein Defacement ist so aber nicht direkt möglich. Die Passwörter sind bei Wordpress gehasht gespeichert. Um sie zu knacken, müsste man also einen Brute-Force-Angriff durchführen. Dieser würde nur bei schwachen Passwörtern funktionieren.

Anonymous fand in den Daten jedoch eine Datei installer.php, die zum Wordpress-Plugin Duplicator Pro gehörte. Dabei handelt es sich um ein Plugin, das einen einfachen Umzug der Seite ermöglicht. Das Plugin gibt es auch in einer kostenlosen Lite-Version, die Sicherheitsprobleme sind dabei identisch.

Durch diese Installer-Datei ließ sich ein Backup der Wordpress-Installation erneut in einem Unterverzeichnis installieren. Der Trick dabei: Bei dieser erneuten Installation kann man einen eigenen Datenbankserver angeben. Somit hatte Anonymous eine Kopie der Wordpress-Version, die eine von ihnen kontrollierte Datenbank nutzte. Dort konnte man dann die Passwort-Hashes zurücksetzen und sich einloggen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Der Rest ist vergleichsweise einfach: Über ein Wordpress-Plugin installierte Anonymous einen PHP-basierten Dateimanager, mit dem ein Vollzugriff auf den Webspace möglich war.

Offen bleibt, warum genau die Installer-Datei von Duplicator Pro an dieser Stelle lag. Das Duplicator-Plugin dient dazu, Wordpress-Installationen von einem Server auf einen anderen umzuziehen. In der alten Installation erzeugt das Plugin eine ZIP-Datei und die installer.php-Datei, die man herunterlädt und auf den neuen Server hochlädt.

Sicherheitsfirma Synacktiv warnte 2018 vor ähnlichem Angriff

2018 hatte die IT-Sicherheitsfirma Synacktiv über derartige Probleme mit dem Duplicator-Plugin berichtet. Frühere Versionen des Plugins hatten dabei versäumt, die installer.php-Datei anschließend auch zu löschen. In der aktuellen Version wird die Datei gelöscht, allerdings erst nach dem ersten Login.

Aus den Screenshots von AnonLeaks geht allerdings hervor, dass in dem Fall die installer.php-Datei nicht im Root-Verzeichnis war, sondern im Unterverzeichnis des Plugins. Auch aktuelle Versionen des Plugins legen dort eine Kopie der installer.php-Datei ab, allerdings unter einem nicht trivial erratbaren Namen. Riskant ist das allemal, wenn etwa aufgrund einer Server-Fehlkonfiguration das Verzeichnis lesbar ist oder über andere Wege ein Angreifer Kenntnis über den Dateinamen erhält.

Wer das Duplicator-Plugin - egal ob in der Pro- oder Lite-Variante - in der Vergangenheit genutzt hat, sollte sicherstellen, dass sich weder im Root-Verzeichnis des Webservers noch im Unterverzeichnis des Plugins (wp-content/backups-dup-lite oder wp-content/backups-dup-pro) Überreste des Umzugs befinden.

Der Autor dieses Artikels hat ein freies Tool namens Snallygaster entwickelt, das nach Datei-Leaks auf Servern scannt. Ein Test für Dateien wie database.sql enthielt das Tool bereits, für offen abrufbare Installer-Dateien des Duplicator-Plugins wurde ein neuer Test hinzugefügt.

Hanno Böck ist Golem-Redakteur für die Themen IT-Sicherheit und Kryptographie. Bei der Golem Akademie gibt Hanno den Workshop "IT-Sicherheit für Webentwickler". In dem zweitägigen Onlineseminar führen die Teilnehmer Angriffe auf reale Webapplikationen praktisch durch und analysieren, wie sich solche Schwachstellen schließen lassen. Für den nächsten Termin am 5./6. Juli 2021 bietet die Golem Akademie Schnellentschlossenen einen Rabatt von 20 Prozent an.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Manni1 24. Jun 2021

Ich bin mir nicht sicher, was bei Dir mehr greift, der Pawlowsche Speichelfluss oder doch...

Trollversteher 22. Jun 2021

Neja, nur weil man sich nicht (ebenfalls in gewissen Mainstream-Kreisen gerade sehr...

Krischan7 21. Jun 2021

Es liest sich ein wenig wie Lobhudelei. Es sind und bleiben gefährliche Kriminelle die in...

maniba 21. Jun 2021

Wordpress hashed Passwörter, aber normal als unsalted MD-5, da braucht es keine...

ANTI-Paranoia 21. Jun 2021

Die "Hacker" haben ja damit geprahlt, welche Seiten sie alle gehackt haben und das war ja...



Aktuell auf der Startseite von Golem.de
600 Millionen Euro
Bundeswehr lässt Funkgeräte von 1982 nachbauen

Das SEM 80/90 mit 16 KBit/s wird exakt nachgebaut, zum Stückpreis von rund 20.000 Euro. Das Retrogerät geht für die Bundeswehr in Serie.

600 Millionen Euro: Bundeswehr lässt Funkgeräte von 1982 nachbauen
Artikel
  1. Foundation bei Apple TV+: Die unverfilmbare Asimov-Trilogie grandios verfilmt
    Foundation bei Apple TV+
    Die unverfilmbare Asimov-Trilogie grandios verfilmt

    Gegen die Welt von Asimovs Foundation-Trilogie wirkt Game of Thrones überschaubar. Apple hat mit einem enormen Budget eine enorme Science-Fiction-Serie geschaffen.
    Eine Rezension von Peter Osteried

  2. Pakete: DHL-Preiserhöhung könnte Amazon Prime verteuern
    Pakete
    DHL-Preiserhöhung könnte Amazon Prime verteuern

    DHL Paket erhöht die Preise für Geschäftskunden. Das könnte Auswirkungen auf den Preis von Amazon Prime haben.

  3. Security: Forscher veröffentlicht iOS-Lücken aus Ärger über Apple
    Security
    Forscher veröffentlicht iOS-Lücken aus Ärger über Apple

    Das Bug-Bounty-Programm von Apple ist vielfach kritisiert worden. Ein Forscher veröffentlicht seine Lücken deshalb nun ohne Patch.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung G7 31,5" WQHD 240Hz 499€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • Samsung SSD 980 Pro 1TB 150,50€ • Dualsense-Ladestation 35,99€ • iPhone 13 erschienen ab 799€ • Sega Discovery Sale bei GP (u. a. Yakuza 0 4,50€) [Werbung]
    •  /