Phishing: Sparkasse

Derzeit sind vermehrt Pishing Mails mit einer angeblicch notwendigen Bestätiung der Kontodaten unterwegs. Gemeinsames Kennzeichen der E-Mails ist, das der Linkt zur Pishinge -Site in einer angehängten HTML-Datei versteckt ist. Diese Links haben nun als gemeinsames Kennzeichen, dass die auf eine in der Filestruktur von WordPress versteckte Seite mit dem Namen /wp-includes/images/wlw/ok/mail.php zeigen.

(WordPress) Blogs gehackt – Fortsetzung 1

Paypal Betrugsversuch
Paypal Betrugsversuch – Betrug! stammt natürlich von mir
Vor einigen Tagen habe ich über die Einbrüche in WordPress Blogs und andere Systeme berichtet. Leider – oder glücklicherweise – waren die Einbrüche immer schon entdeckt und beseitigt, wenn ich versucht habe auf die Seiten zuzugreifen. Heute ist es mir (endlich) gelungen einen Screenshot zu einer der gehackten Seiten zu bekommen. Bisher waren die Seiten immer schon entfernt, wenn ich darauf zugreifen wollte. Heute hat mein Firefox zwar einen Betrugsversuch beim Abruf gemeldet, aber dadurch habe ich mich nicht irritieren lassen (nur wer genau weiß,was er tut, sollte diese Meldung ignorieren). Die gefälschte Paypal Seite war noch online, deshalb hier nun der Screenshot und ein Bericht, wie es nach der ersten Seite weiter geht. Sieht doch sehr echt aus – ist allerdings kein Kunststück.
„(WordPress) Blogs gehackt – Fortsetzung 1“ weiterlesen

Netter Versuch

… aber ich sichere meinen Server nicht im document root.

Heute fiel mir ein seltsamer Besucher auf, der nach Dateien byggvir.de.zip, byggvir.de.rar oder .7z suchte. Hier ein Log Eintrag.


192.74.229.180 - - [01/Jun/2013:00:01:15 +0200] "GET /byggvir.de.zip HTTP/1.1" 200 139 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler ; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727)"

Die Idee, dass ein Admin seinen Server sichert und die Sicherung auf dem Server selbst zum Herunterladen ablegt ist nicht schlecht. So käme man an die .htaccess oder das Password für den MySQL Server.

Daraus wird nichts: So etwas mach ich nicht!

BTW: Wer behauptet einen alten MSIE 6.0 zu nutzen, der erhält eine kleine Datei mit dem Hinweis, dass der Browser veraltet ist. Mit den Angaben im User Agent scheinen es die Kameraden nicht so genau zu nehmen. Da finden sich viele lustiger Einträge. Ein doppeltes „MSIE 6.0“ ist nur wirklich nicht nötig.

Falsche Bots finden

Geschützte Seiten, die trotzdem über Google gefunden werden wollen, erlauben den Zugriff, wenn er von Google kommt. Im einfachen Fall fragt der Server nur den User Agent String ab. Kennzeichnet er den Aufrufer als Googlebot, wird der Zugriff erlaubt. Dies wird gerne ausgenutzt um einen Zugriffsschutz zu umgehen.

Manche Crawler oder Nutzer – gut oder böse sei dahin gestellt – tarnen sich als Googlebot mit dem User Agent String Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html).

Frage: Wie kann ich erkennen, dass ein Zugriff wirklich von einem Googlebot kommt? Und was kann ich gegen dagegen tun?
„Falsche Bots finden“ weiterlesen

Web-Server schützen

Seit einiger Zeit beobachte ich verstärkte Zugriffe auf den Artikel Freundliche und unfreundliche Crawler. In den Monaten Februar und März hat er sich an die Spitze der abgerufenen Seiten gesetzt. Seit Anfang Mai geht jeder 4 Aufruf auf diese Seite; Zeit, der Ursache auf den Grund zu gehen.

„Web-Server schützen“ weiterlesen

WordPress Kommentar Spam

Heute erhielt ich folgenden Kommentar auf einen meiner Artikel.

{Online|On-line|On the internet|On the web|On the net|On line|Internet|Over the internet|Via the internet|Web based|Using the web} {Article|Post|Write-up|Short article|Report|Posting|Piece of writing|Guide|Content|Document|Brief article}…

The knowledge outlined inside the posting are some of the greatest readily available…

Es ist mir schleierhaft, was mein Post mit einem Artikel über eine X-Box zu tun hat, auf die der Link verwies. Aber ich muss nicht alles verstehen. Natürlich gebe ich dem Spammer auch recht, was seine – wenn auch untertriebene – Bewertung meines Artikels angeht, aber dies ist doch selbstverständlich und nicht der Rede wert. 😉

Das mein captcha von einigen Tools gelöst werden kann, ist mir auch bekannt. Aber es reicht um die Zahl der Spam-Kommentare, die ich prüfen muss, zu reduzieren.

Nein, was ich gerne verstehen würde, ist die erste Zeile. Hat der Spammer versehentlich seine Versatzstücke mit in den Kommentar kopiert? Als zusätzliche Stichwörter sind diese Worte wenig hilfreich. Sinnvoll wäre es einen Text mittels derartiger Auswahllisten zu modifiziert und so jeden Eintrag individuell erscheinen zu lassen.