[vgwort line=“70″ server=“vg05″ openid=“70615039bda64b63ad687aee2bbe3169″]
Vor einigen Tagen habe ich über die Einbrüche in WordPress Blogs und andere Systeme berichtet. Leider – oder glücklicherweise – waren die Einbrüche immer schon entdeckt und beseitigt, wenn ich versucht habe auf die Seiten zuzugreifen. Heute ist es mir (endlich) gelungen einen Screenshot zu einer der gehackten Seiten zu bekommen. Bisher waren die Seiten immer schon entfernt, wenn ich darauf zugreifen wollte. Heute hat mein Firefox zwar einen Betrugsversuch beim Abruf gemeldet, aber dadurch habe ich mich nicht irritieren lassen (nur wer genau weiß,was er tut, sollte diese Meldung ignorieren). Die gefälschte Paypal Seite war noch online, deshalb hier nun der Screenshot und ein Bericht, wie es nach der ersten Seite weiter geht. Sieht doch sehr echt aus – ist allerdings kein Kunststück.
Im Kern enthält dies Seite ein Formular, dass auf eine weitere Seite step1.php verweist. Dieses dürfte das eigentlich gefährliche Script sein, dass die Anmeldedaten an die Betrüger weitergibt.
<form method=“GET“ name=“Veri“ action=“step1.php“ onsubmit=“return chkFormular();“>
(Hervorhebung von mir!)
Leider lässt sich die PHP-Seite nicht im Original herunterladen, dann könnte ich nachschauen, wie die Reise der Login-Daten weiter geht. Mein Tipp ist ein einfacher Seitenaufruf eines weiteren Servers mit den Daten. Vielleicht werden auch die Abbuchung gleich von diesen Servern ausgeführt. Damit wäre der Administrator in der Schusslinie der Ermittlungen, der seinen Server nicht ausreichend gesichert hat. Mancher wird jetzt denken: Geschieht ihm recht. Aber ich bin da lieber vorsichtig. Dies ist auch ein WordPress-Blog. Die Administration ist zwar gut abgesichert, aber gegen Fehler in WordPress bin auch ich nicht gefeit.
Was pasasiert, wenn man das Formular ohne Eingaben abschickt? Nun, dann geht es zum Schritt 1 und der sieht so aus, wei rechts dargestellt. Die Betrüger möchten – unter dem Vorwand meinen Daten zu prüfen und mich „auszuweisen“ noch weitere Daten. Ein paar Daten eingegeben und schon fragen sie mich nach meiner Kreditkarte in Schritt 2 und meinem Konto für Abbuchungen in Schritt 3.
Während die eingangseite nicht prüft, ob eine E-Mail-Adresse und ein Kennwort eingegeben wurde, prüft diese Seite die Gültigkeit der Kreditkartennummer.
Inzwischen war ich zwei Stunden beim Sport und der Administrator hat bemerkt, dass auf seinem Server etwas nicht stimmt. So muss die weitere Untersuchung hier enden. Pech aber auch.
Gute Nacht
Neueste Kommentare