wordpress.org gehackt

Andi — Sat, 03 Mar 2007 10:50:27 +0000

Dem Download-Server von wordpress.org ist das passiert, was man wohl als GAU bezeichnen darf: ein unbekannter Cracker hatte sich Zugang verschafft und die dort abgelegte Version 2.1.1 mit Codeänderungen versehen, die potentielle Sicherheitslücken darstellen.
Wer in den letzten 3-4 Tagen die englischsprachige Version geladen hat ist somit angreifbar und muss dringend auf die neu verfügbare (und sichere) Version 2.1.2 updaten; die deutsche Lokalisation war nicht betroffen, da diese anderweitig gehostet wird, ebenso ist die alte Versionschiene 2.0 sauber.
Wer die Möglichkeit hat (sei es als Hoster oder als Selbstschrauber) sollte als Sofortmaßnahme bis zum Update Zugriffe auf theme.php und feed.php unterbinden und alle HTTP-Anfragen mit den Zeichenfolgen ix= oder iz= blocken.
Ein lokalisiertes Update-Paket der deutschen Version ist zum Download bereit, ebenso die englischsprachige Version.
Nähere Informationen zu den Vorgängen gibt es im deutschen WordPress-Blog.

DoS-Angriffe erfolgreich aufhalten

Andi — Fri, 16 Feb 2007 23:50:30 +0000

Immer wieder versuchen nervige Script-Kiddies, Spam-Bots oder sonstige bösgestimmte Zeitgenossen, durch viele Anfragen an Webserver in sehr kurzer Zeit deren Funktion zu beeinträchtigen und die Auslieferung der Inhalte an „normale“ Besucher dadurch zu erschweren oder gar ganz zu verhindern.
Heutzutage generieren sich viele Webprojekte aus dynamisch erzeuten Seiten; die Bildung der Inhalte benötigt daher Rechenzeit und Speicher auf derm Webserver, was das DoS-Problem verstärkt. Durch zu viele Anfragen in zu kurzer Zeit steigt die CPU-Auslastung an und in ungünstigen Situation ist kein Seiteaufbau mehr möglich, da dem Server der RAM ausgeht.
Um hier Entlastung zu bringen wurde das Apache-Modul mod_evasive entwickelt (Download-Mirror), welches die maximal möglichen Verbindungen pro IP-Adresse kontrolliert und im Bedarfsfall abblockt.
mod_evasive erstellt intern eine Liste von zugreifenden IPs und angeforderten URLs. Sobald in einer einstellbaren Zeitspanne ein festgelegter Schwellwert überschritten wird, lehnt das Modul weitere Zugriffe innerhalb einer Blacklist-Frist mit einem 403-Forbidden-Fehler ab — hierduch erfolgt kein rechenintensiver Aufruf von Inhalten mehr und viele DoS-Attacken laufen ins Leere.
Die Installation ist einfach. Das Modul kann im Quelltext bezogen werden und bei installieren Apache-dev-Quellen simpel durch Aufruf von

apxs -i -a -c mod_evasive20.c

kompiliert und den Apache-Modulen zugefügt werden.
Bei der Installation wird ein Eintrag in die httpd.conf eingefügt; zusätzlich empfiehlt sich, die Parameter von mod_evasive an die eigenen Bedürfnisse anzupassen.
Hierzu fügt man in der Apache-Konfiguration einen Abschnitt ein:


    DOSHashTableSize    3096
    DOSPageCount        5
    DOSSiteCount        50
    DOSPageInterval     1
    DOSSiteInterval     1
    DOSBlockingPeriod   10

Die Bedeutung der einzelnen Option sind in der Dokumentation erläutert.
Nach einem Neustart von Apache greift der Schutz. Bei Bedarf kann bei IP-Blacklistungen eine eMail an eine beliebige Adresse geschickt werden. Hierzu kann man oben zusätzlich die Option DOSEmailNotify admin@mydomain.net mit passender Adresse eintragen.
Anzumerken bleibt, dass mod_evasive zwar eine deutliche Lastreduktion bei Angriffen bieten kann, einen vollständigen Schutz leistet aber nur ein Abblocken der DoS-Pakete mittels Firewall, bevor sie Apache überhaut erreichen können.

andi.de » angriff

wordpress.org gehackt

DoS-Angriffe erfolgreich aufhalten