Lästige Angriffe auf mein WordPress-Blog(?)

[vgwort line=“63″ server=“vg08″ openid=“5eceab3c6b6a41f798395c8413ee58f2″]

Seit geraumer Zeit beobachte ich Angriffe von vielen Servern auf dieses Blog. Die Angriffe, die dem Seitenaufruf die folgende kryptischen Zeichenfolge (auf vier Zeilen aufgeteilt) der folgenden Form anhängen.

%26sa%3DU
%26ei%3D4rpeT_yyKq3aiQKcmtjDBA
%26ved%3D0CD0QFjAJOGQ
%26usg%3DAFQjCNG2nUv1dUODZwi4HLrUVpZCF-0l8w

Beliebt sind die Seitenaufrufe für /tags/password/<ZEICHENFOLGE> und /tags/pishing/<ZEICHENFOLGE>

Die Server scheinen alle in Amerika zu stehen. Auch wenn die Angriffe ins Leere laufen und eine Seite „Nicht gefunden“ erscheint, will ich diese Spielchen ab heute unterbinden. Mittel der Wahl ist das Rewrite Module des Apache2. Eine Rewrite-Regel soll künftig den Zugriff frühzeitig unterbinden.

Also versuchte ich es mit einem RewriteRule %26sa%3DU%26ei%3D – [F,L]. Nichts funktionierte. Die „%“-Zeichen haben auch in den Rewrite-Regeln eine besondere Bedeutung. Ein Escape mit „\“ brachte nicht den gewünschten Erfolg. Bis ich heraus fand, dass die mit dem „%“-Zeichen beginnenden Escape-Sequenzen für Byte Werte vor der Übergabe an die Rewrite-Regel aufgelöst werden. Im Log stehen werden die Werte aber mit %-maskiert. Immer diese Feinheiten.

Damit sieht der verschleierte Aufruf dann wie folgt aus:

&sa=U
&ei=4rpeT_yyKq3aiQKcmtjDBA
&ved=0CD0QFjAJOGQ
&usg=AFQjCNG2nUv1dUODZwi4HLrUVpZCF-0l8w

Nicht sonderlich besser, aber die Zeichenkette bekommt einen Sinn. Der Angreifer versucht dem PHP-Script vier Variablen (sa, ei, ved, usg) mit verschiedenen Vorbesetzungen unter zu schieben. Verbleibt die Frage, was diese Variablen bewirken sollen? Aber diese Frage ist nicht das vorrangige Problem. Vorrangig war die Unterbindung dieser Aufrufe und nach der Entschlüsselung hatte ich eine funktionierende Rewrite-Regel:

RewriteRule &sa=U&ei=.*&ved=.*&usg=.*$ – [F,L]

Eine Prüfung mit dem Log ergab folgende Beobachtung: Die Zeichenfolge kommt in Teilen der Referrer auch vor. Immer wenn der Zugriff über Google erfolgt, dann finden sich die vier Variablen im Referrer wieder. Unten ein auf Zeilen umgebrochener Link aus den Suchergebnissen:

http://www.google.com/url
?sa=t
&rct=j
&q=
&esrc=s
&source=web
&cd=3
&ved=0CDQQFjAC
&url=http%3A%2F%2Fbyggvir.de%2F2012%2F10%2F13%2F
&ei=I-F9UPWXHKSD4gTGxIDwCg
&usg=AFQjCNERj_shMAep1THSp8eZwzTlLAgJ_w
&cad=rja

Sollte es sich gar nicht um Angriffe handeln? Vielleicht doch kein so guter Gedanke den Zugriff einfach zu blockieren. Wenn jemand eine bestimmte Seite sucht, aber den offenbar den falschen Link angibt, dann soll er die richtige Seite geliefert bekommen und nicht gänzlich abgewiesen werden. Also eine kleine Änderung und die Zeichenfolge wird entfernt und die Anfrage auf die richtige Seite umgelenkt.

RewriteRule ^(.*)&sa=U&ei=.*&ved=.*&usg=.*$ $1 [F,L]
RewriteRule ^(.*)&sa=U&ei=.*&ved=.*&usg=.*$ $1 [R,L]

Update2012-10-17T06:11:48+00:00: Zur Weiterleitung muss das Flag natürlich von „F“ auf „R“ geändert werden.End Update

Wer weiß, wie es zu diesen Anfragen kommt. Möglicherweise versucht jemand automatisiert auf die Seiten in den Suchergebnissen zuzugreifen, vergisst aber die Erweiterung von Google zu entfernen.

Ob Angriff oder nicht, jetzt wird mit einer sinnvollen Seite geantwortet.

Vielleicht findet ja jemand heraus, woher diese fehlerhaften Zugriffe kommen.

Gute Nacht