Schüler im Lehrerzimmer?!

Guten Abend Herr Rau,

leider ist ihr Lehrerzimmer etwas veraltet. Die Tür steht weit offen.
Durch ein Exploit wird ein verschlüsseltes Passwort und der dazugehörige Benutzername sichtbar.
Es ist kinderleicht solch ein verschlüsseltes Passwort zu knacken.

Bitte besuchen sie doch die Wordpress Homepage, um das Lehrerzimmer wieder nur für Lehrer zugänglich zu machen.
Ich will mich nicht als Hacker darstellen, sagen wir, ich will Sie vor größeren Schäden bewahren.

Ich habe keinen Proxy verwendet und es wurden keinerlei Daten verändert, manipuliert oder gelöscht!
Bitte ändern Sie schnellstmöglich die Passwörter der Benutzer und schließen Sie die Wordpresslücke!

Mit freundlichen Grüßen

14 Antworten auf „Schüler im Lehrerzimmer?!“

  1. leider ist ihr Lehrerzimmer etwas veraltet. Die Tür steht weit offen.
    Durch ein Exploit wird ein verschlüsseltes Passwort und der dazugehörige Benutzername sichtbar.
    Es ist kinderleicht solch ein verschlüsseltes Passwort zu knacken.

    Zeit die Software upzudaten.

  2. So, habe mich darum gekümmert. Danke nochmal!
    Ich hoffe, das war’s; die Wordpress-Meldung zum Update kam erst vor sieben Stunden heraus. An sich bin ich sein sehr rascher Aktualisierer. Ich hoffe jedenfalls, dass dieses aktuelle Update die Sicherheritslücke geschlossen hat – wenn nicht, stimmt mit meinen alten Updates etwas nicht. Dann gerne nochmal reinhacken!

    Nachtrag: Sinnvollerweise habe ich viele Passwörter und nicht für jede Anwendung das gleiche. Sonst kann das ganz schön Probleme geben, wie das hier schön demonstriert wird.

  3. Glück gehabt! Meine Site wurde auch gehackt, ohne dass ich gewarnt wurde. Dafür bekam ich hunderte von nichtzustellbaren Spams.
    Aber interessant, wann du arbeitest – und wann schläfst du? Oder brauchen Blogger keinen Schlaf?

  4. So, heute wieder nachmittags Unterricht gehabt, bin jetzt endlich zurück aus der Schule. Schulaufgaben, Notenmachen und Zwischenzeugnis allerorten. Lustiger Tag heute, hoffentlich komme ich bald wieder zum ausführlichen Schreiben.
    Wolfang, es sieht wenigstens alles okay aus bei dir.

    Dass dieses Blog auch meine morgendliche Aufstehenszeit protokolliert, hatte ich vergessen. Soviel wollte ich gar nicht unbedingt von mir presigeben. :-)
    Ich stehe jeden Tag um etwa zehn vor sechs auf. Und dann führt der erste Griff zum Computer (genauer gesagt, er wird mit der Zehenspitze angeschaltet). Sehr wenige Tastendrucke später laufen Feedreader und E‑Mail.

    Heute hatte ich glücklicherweise Zeit, mich um das Problem, das mich schon etwas in Aufregung versetzt hat, zu kümmern, da ich Dienstags dieses Jahr erst später in die Schule muss. Trotzdem stehe ich auch an diesem Tag, anders als am Wochenende, so früh auf; ich kann morgens am besten arbeiten und außerdem ist es mir viel zu kompliziert, jeden Tag zu einer anderen Uhrzeit aufzustehen.

    (Wordpress nehme ich das das ganze nur wenig übel, das kann anderswo auch passieren, denke ich. Vielleicht hilft ein Umstieg auf Wordpress MU, die multi-user variante, die auch den bei wordpress.com gehosteten Blogs zugrunde liegt. Hat manche Vorteile.)

  5. Hallo Herr Rau,

    ich empfehle dir dringend, deinen Wordpress Adminbereich mit einer .htaccess-Datei zusätzlich zu sichern. Wie das geht kann man verschiedenen Anleitungen entnehmen. Diese hier ist bestimmt ausführlich genug:
    http://de.selfhtml.org/servercgi/server/htaccess.htm

    Auf diese Weise ist der Adminbereich niemandem zugänglich. Ein “Hacker/Cracker” bekommt also nicht mal den Login zu Gesicht. Das ist bestimmt ziemlich deprimierend für denjenigen. :)
    (Ich muss Ihnen hoffentlich nicht sagen, dass das Passwort für den Schutz von .htaccess ein anderes sein sollte als das Wordpress Passwort. :D )
    Hier gibt’s auch noch ein Tutorial zu .htaccess: http://www.pc-projekt.net/showthread.php?tid=81&pid=431#pid431

    *auf ein sichereren WP-Blog!*

    MfG, Robert Nitsch

  6. Also Herr Rau, das Update war erfolgreich. Kein Zugriff mehr!

    Und die Aussage, dass die “Hacker/Cracker” deprimiert wären ist meiner Meinung nach falsch. Ein Seite funktioniert nicht, dann ab zur nächsten. Da werden hunderte abgeklappert.

    Und der HTACCESS Login ist schon sehr gut. Eigentlich ist Wordpress eine sichere Software.

    Das war’s vorerst.

    Mit freundlichen Grüßen

  7. (Ich bin mir nicht ganz sicher ob Kommentar von gerade eben abgespeichert wurde. Mein Browser ist nämlich abgestürzt…)

    @Beitragsersteller:
    Naja, jemand der sich wirklich dazu entschlossen hat, diese Seite zu hacken, der wird nicht so schnell aufgeben…

    @Herr Rau:
    Ich habe mich eben selbst von deinem .htaccess-Passwortschutz überzeugt. :)
    Trotzdem habe ich noch etwas für dich. Diese .htaccess-Datei setze ich bei mir zusätzlich zum Passwortschutz im /wp-include Ordner ein:
    http://pastebin.netgarage.org/510

    Diese .htaccess-Datei muss in den /wp-include Ordner gepackt werden. Ab diesem Moment sperrt sie jeglichen Zugriff auf die PHP-Dateien in diesem Verzeichnis. Wie man erkennen kann, werden manche Dateien jedoch freigegeben, da sonst einige Funktionen nicht funktionieren würden (z.B. die Icons von TinyMCE). Abhängig von deiner Konfiguration von Wordpress (Plugins usw.) kann es sein, dass noch mehr “Ausnahmen” definiert werden müssen.
    Die PHP-Dateien im /wp-include Ordner sind für den normalen Benutzer nämlich nicht von Interesse – nur für “Leute” mit bösen Absichten…

    Sollte dann mal eine Sicherheitslücke in einer der /wp-include/*.php – Dateien bekannt werden, dann kann das deinem Blog erstmal nichts anhaben. Der Zugriff wird ja bereits an “erster Stelle” vom Server gesperrt.
    Naja, falls etwas mit diesem Schutz nicht funktionieren sollte kannst du die .htaccess-Datei ganz einfach wieder entfernen…

    MfG, Robert Nitsch

  8. htaccess hat schon was – aber nicht vergessen: es geht hier um eine social-software und Interesse sollte sein, möglichst viele als Schreiber zu beteiligen und nicht durch weitere Blockaden abzuhalten.

  9. Ich hoffe es ist legitim so viele Kommentare zu schreiben. Solange sie zum Thema beitragen… ;)

    @Wolfgang:
    Das ist ganz und gar kein Problem.
    Man kann bei einem Passwortschutz durch .htaccess _mehrere_ Benutzer eintragen.
    (Diese kann man auch in verschiedene Gruppen unterteilen. Es ist sogar möglich, für bestimmte Dateien ganz bestimmte Beschränkungen vorzunehmen. Zum Beispiel, dass nur die Gruppe “Administratoren” auf das Datenbank-Backup zugreifen können (kann durchaus sinnvoll sein). Oder, dass nur “Hans Peter” auf die Moderation neuer Kommentare zugreifen darf. All das ist möglich…)

    MfG, Robert Nitsch

  10. Ich glaube die Version die Sie hatten war noch älter. Ich habe bei mir auch einige Registrierungsversuche gehabt. Jetzt ist die Registrierung ausgeschaltet.
    Serendipity könnte auch eine Lösung sein. Mal schauen.

    .htaccess ist natürlich auch eine feine Idee – warum bin ich nicht selber drauf gekommen?
    Nun..um es komplett zu machen müßte man dann allerdings auch SSL benutzen :)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.