Ein Fisch der nach Apfel schmeckt, ein gehacktes WordPress und eine Online Apotheke

Brandaktuell aus meinem Eingangspost stammt eine eMail, die vorgibt vom Apple AppStore zu stammen. Die Indizien für ein Phishing sind sehr umfangreich: Zum einen ist die Mail an eine meiner Adressen gerichtet, die mit dem Apple AppStore aber so gar nichts zu tun hat. Zum zweiten gibt der Absender der eMail lediglich vor der AppStore zu sein, dahinter findet aber als Absenderadresse dream5[at]ppc2you[dot]com.  Und zu guter Letzt gibt es kein explizites Postfach im AppStore, in dem Nachrichten vorgehalten werden. Schon gar nicht bleiben dort Nachrichten 4 Tage kleben, wenn doch eine Erinnerungsemail zugestellt werden kann. Immerhin – die Bilderlinks für Header und Footer verweisen auf offizielle Apple Server:

Bildschirmfoto 2015-10-19 um 14.48.28

Überfährt man jedoch die Links in der eMail – sowohl die beiden blauen im Nachrichtentext, als auch die beiden etwas unscheinbareren im Footertext, zeigt sich folgendes entlarvende Bild:

Bildschirmfoto 2015-10-19 um 14.42.49

Übrigens ein sehr einfacher Lackmustest zur Erkennung von Phishing-Mails. Nur den Link mit der Maus überfahrennicht anklicken! – nach kurzer Zeit erscheint ein sog. Tooltip, der die ZielURL des Links offenbart.

Phishing-Links können durch überfahren in der eMail sichtbar gemacht werden. Share on X

Im vorliegenden Fall ist es mehr als offensichtlich, das Apple da nun gar nichts mit zu tun hat. Aber das /wp-content/ in der URL weckte natürlich meine Neugier. Zumal sich im /wp-content/ Verzeichnis normalerweise nur Ordner befinden und lediglich eine zusätzliche index.php dafür sorgt, das trotz eines ggf. falsch konfigurierten Webservers keine Verzeichnisinhalte angezeigt werden.

Eine rasche Inspektion lieferte dann die Erklärung – eine veraltete WordPress Installation:

[+] URL: http://barrylawmagazine.com/
[+] Started: Mon Oct 19 14:55:41 2015

[+] robots.txt available under: 'http://barrylawmagazine.com/robots.txt'
[+] Interesting entry from robots.txt: Host: barrylawmagazine.com
[!] The WordPress 'http://barrylawmagazine.com/readme.html' file exists exposing a version number
[!] Full Path Disclosure (FPD) in 'http://barrylawmagazine.com/wp-includes/rss-functions.php': /home1/barrylaw/public_html/wp-includes/rss-functions.php
[+] Interesting header: SERVER: nginx/1.8.0

[+] WordPress version 4.1.7 identified from rss generator
[!] 3 vulnerabilities identified from the version number

Wobei veraltet hier sogar relativ zu sehen ist: Die .7 an Ende ist an der Stelle sehr viel entscheidender als die 4.1 vorneweg. Da die letzten Sicherheitspatches noch bis auf Version 3.7 zurück gereicht werden, wäre der Betrieb von 4.1.x sogar noch vertretbar, wäre es die davon aktuelle Ausgabe 4.1.8, die die letzten drei oben benannten Lücken (2 x XSS und der Sticky-Post-Issue) einfängt. Offensichtlich wird die Seite schlecht gepflegt und der Autoupdater scheint ausgeschaltet zu sein.

Ein mal mehr: Update, Update, Update - nur so werden Lücken geschlossen Share on X

Auch wenn die Malware in Form der percent.php-Datei im vorliegenden Fall direkt auf der Ebene /wp-content/ zu finden ist, das übliche Einfallstor für derlei Dateien ist i.d.R. ein Verzeichnis darunter in /wp-content/uploads/ zu finden. Dort lassen sich Dateien sehr viel unverfänglicher verstecken, da dieses Verzeichnis ja explizit dafür gedacht ist benutzerspezifische Inhalte wie Bilder, PDFs oder Filme aufzunehmen. Den Upload von PHP-Dateien dort hin kann man sehr leicht mit einem Eintrag in der .htaccess-Datei unterbinden. Die einfach rewrite-Regel

 RewriteRule ^wp\-content/uploads/.*\.(?:php[1-6]?|pht|phtml?)$ - [NC,F]

verhindert das dort vom Server ausführbare Dateien hingeladen werden können und Schaden anrichten.

Der Vollständigkeit halber: die WHOIS-Abfrage lieferte godaddy.com – immerhin globaler Sponsor für WordCamps – als Ansprechpartner für die Domain aus. Eine entsprechende eMail an das Abuse-Dept. ist raus.