WordPress DOS – wp-admin Verzeichnis schützen

Posted on 7. Februar 2018 by marius

Die Hacker News berichten von einem Angriff auf WordPress, der von Seiten der Entwickler als „nicht-unsere-Baustelle“ abgeschmettert wurde, aber ganz leicht abgewehrt werden kann.

Der Angriff

Im wp-admin Verzeichnis gibt es ein Script namens „load-scripts.php„, das auf Zuruf, und liegt das Problem, alle Javascripte der Installation, zu einer gemeinsamen Javascriptseite zusammenbaut, damit der Browser nicht jede einzeln laden muß. Das Problem daran ist, jeder kann die Seite aufrufen. Wenn man dann noch die gesamten Javascripte eines WordPress zusammenstellen läßt, reichen wenige Aufrufe, bis die Webseite offline ist.

Das liegt daran, daß bei der Zusammenstellung sehr viel IO entsteht, was den Webserver belastet. Dadurch wird alles langsamer, bis es bei genug Anfragen zum faktischen Stillstand kommt. Dazu kommt eine erhöhte Rechenleistung während die Scripte Ihren Job tun.

Was meint WordPress dazu ?

Die sagen, daß ein Admin diese Seite aufrufen können muß, wenn er noch nicht als Admin erkennbar ist. Also muß es jeder können. Man solle doch das Problem irgendwo anders löschen, nur nicht bei Ihnen.

„However, the company refused to acknowledge the issue, saying that this kind of bug „should really get mitigated at the server end or network level rather than the application level,“ which is outside of WordPress’s control.“ (Zitat von THN )

Das ist natürlich peinlich, weil jemand das in WordPress gefixt hat und einen Fork davon bereitstellt. Es ist also scheinbar leicht möglich es zu beheben.

Eine Lösung des Problems

Wenn Ihr Zugriff auch Euren Webserver habt, erstellt Ihr einfach für wp-admin eine .htaccess Datei . Das kann man über eine Weboberfläche lösen, so wie hier :

Wenn man die HT-Accessabfrage mit Usernamen und Passwort anlegt, fragt einen der Browser nach den Zugangsdaten, aber merkt sich die auch, so daß man selbst recht unproblematisch wieder ins Backend gelangt. ( Die 5.6 Version von PHP ist wohl beim Testen hängen geblieben und wurde bereinigt 😉 ).

Nach dem Anlegen zeigt meine Oberfläche dann auch an, daß dort eine HTAccess mit Benutzernamen liegt :

Nach dem Anlegen des Benutzers

Wenn man das alles von Hand machen muß, geht das so :

In die Datei wp-admin/.htaccess kommt dieser Inhalt, bei dem Ihr den Pfad anpassen müßt:

AuthType Basic
AuthName "Das ist mein WordPress!"
AuthUserFile /path_to_wp/wp-admin/.htpasswd
Require valid-user

danach gibt man in der Bash ein :

htpasswd -bc /path_to_wp/wp-admin/.htpasswd username password

Das war es dann schon. Jetzt noch im Browser wp-admin/ aufrufen und die neuen Zugangsdaten eingeben und auf Speichern drücken.

Followup – Der SSLv3 Stand

Posted on 6. Februar 2018 by marius

Ihr erinnert Euch noch an diese Beiträge zum Thema SSLv3 aus 2016 ?

Sächsische Polizei benutzte gebrochene Verschlüsselung

Neue TLS Probleme beim BSI

Häufigkeit von TLS Ciphern

Stand der Dinge

Ich habe mir mal gedacht, dies Analyse 2 Jahre danach nochmal zu machen und bin zu dem erfreulichen Ergebnis gekommen, daß kein Kontakt der letzten 4 Wochen noch mit SSLv3 um die Ecke gekommen ist. Natürlich hat das jetzt auch einen deftigen Nachteil, ich habe nichts über das man schreiben könnte 😉 Ich finde aber, daß ich den Preis gerne bezahle 😀

Naja, machen wir doch noch was daraus, das Update der meist benutzten Chipers der letzten 4 Wochen :

214417x	TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256
109616x	TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128
40927x	TLSv1:ECDHE-RSA-AES256-SHA:256
19728x	TLSv1.2:ECDHE-RSA-AES256-SHA384:256
16346x	TLSv1:ECDHE-RSA-AES128-SHA:128
12112x	TLSv1:AES128-SHA:128
9864x	TLSv1.2:DHE-RSA-AES256-GCM-SHA384:256
7270x	TLSv1:DHE-RSA-AES256-SHA:256
7139x	TLSv1.2:AES256-GCM-SHA384:256
6924x	TLSv1:AES256-SHA:256
3767x	TLSv1.2:AES128-SHA256:128
2649x	TLSv1.2:ECDHE-RSA-CHACHA20-POLY1305:256
2443x	TLSv1.2:DHE-RSA-AES128-SHA:128
2062x	TLSv1.2:ECDHE-RSA-AES256-SHA:256
1226x	TLSv1.1:ECDHE-RSA-AES256-SHA:256
805x	TLSv1.2:AES128-SHA:128
748x	TLSv1.2:DHE-RSA-AES256-SHA:256
442x	TLSv1.2:AES256-SHA:256
362x	TLSv1:DHE-RSA-CAMELLIA256-SHA:256
167x	TLSv1:DES-CBC3-SHA:168
151x	TLSv1.2:AES256-SHA256:256
135x	TLSv1.2:ECDHE-RSA-AES128-SHA256:128
59x	TLSv1:EDH-RSA-DES-CBC3-SHA:168
51x	TLSv1.2:DHE-RSA-AES256-SHA256:256
40x	TLSv1.2:AES128-GCM-SHA256:128
35x	TLSv1:DHE-RSA-AES128-SHA:128
22x	TLSv1.1:DHE-RSA-AES256-SHA:256
14x	TLSv1.1:AES256-SHA:256
5x	TLSv1.2:DHE-RSA-AES128-GCM-SHA256:128
3x	TLSv1:DHE-RSA-DES-CBC3-SHA:168
3x	TLSv1.2:ECDHE-RSA-AES128-SHA:128
2x	TLSv1.2:ECDHE-RSA-DES-CBC3-SHA:168
1x	TLSv1.2:DHE-RSA-CAMELLIA256-SHA:256
1x	TLSv1.1:AES128-SHA:128

Bei 459.536 Emailtransporten insgesamt, ist der hohe Anteil an TLSv1 Protokollen doch erschreckend.

Die beiden Spitzenplätze sind gleich geblieben, aber in nachfolgenden Rängen, hat sich einiges, und das nicht zu guten getan, wenn ich das mit dem Beitrag vom März 2017 vergleiche. Am besten macht Ihr Euch da selbst ein Bild.

Bitcoin auf Talfahrt

Posted on 6. Februar 2018 by marius

Der Bitcoin jetzt seine Talfahrt in die richtige Richtung fort, nach unten 🙂

Der Niedergang

Der seit einer Woche anhaltende Trend bestätigt sich auch heute, dem Bitcoin geht es schlecht. Von 9.000 € auf 4.800 € in nur einer Woche bedeutet, was jeder ahnen konnte: Die Blase ist geplatzt. 40% Wertverlust ist schon eine Marke. Die Verlustkurven reisen tiefe Lücken in den Graphen, trotzdem scheint sich der wertlose Digitaltiger immer wieder dagegen stemmen zu wollen.

Der Kurs der letzten 10 Stunden (Stand 10:30 Uhr) ist das auch von Extremen geprägt. Gegen 2 Uhr waren es noch Spitzen von 5.700 €, die dann binnen 4 Stunden auf das erste Tagestief von 4.850 € zusammenbrachen, nur um von noch steilere Kursanstiege auf 5.300 € gefolgt zu werden.

Aber alles kämpfen nutzte nichts, um 9 Uhr brach der Kurs auf 4.800 € ein. Die derzeitige Kurserholung auf 5.000 € ist auch nur ein Zwischenschritt, bis die nächste Schneeballebene zum Verkauf schreitet.

Fazit

Wer jetzt nicht verkauft, ist selbst Schuld, wenn er als Kollateralschaden im Schneeballsystem endet.

Kommentar

Man muß den Spekulanten eins lassen, sie haben den Kurs von Nichts in $ ausgedrückt bekommen und sehr vielen Menschen sehr viel Geld abgenommen, ohne dafür einen Gegenwert zu liefern, falls der Gegenwert nicht der Spaß am Daytrading war. Der reale Gegenwert eines Bitcoins ist nämlich 0, genau wie der reale Wert eines 500 € Scheins*. Da aber mehr als 300 Millionen Menschen an den € glauben, ist sein Gegenwert realer als es der Bitcoin je sein konnte.Außerdem ist der € an reale Werte gekoppelt, denn ich kann dafür Immobilien und Güter kaufen und verkaufen.

Nicht einmal die Bitcoinkonferenzen haben am Ende den Bitcoin als Zahlungsmittel akzeptiert. Natürlich nur wegen der hohen Transaktionsgebühren, die als einzige verlässliche Zahl steigen müssen. Das haben selbst die Schöpfer des Bitcoins so vorhergesehen.

Von den noch vor wenigen Wochen erhofften Gewinnen durch den Handel mit Derivaten an den „echten“ Börsen, ist jetzt natürlich nichts mehr zu erwarten. Das waren nur die Versuche der abgehängten Spekulanten an dem Schneeballsystem mitzuverdienen. Bei den Verlusten des Bitcoins, dürfte der Keks gegessen sein.

*) Der Schein hat tatsächlich durch seine Produktionskosten und Materialien einen Wert > 0, aber nicht viel drüber 😉

Update 16:30 Uhr:

Die Talfahrt blieb ein Strohfeuer im Zuge des Grauen-Montags an den Amerikanischen Börsen. Mit Stand 16:30 würde der Bitcoin mit einem Plus von 7% gegenüber dem Stand von 0.00 Uhr dastehen. Am Trend zum totalen Wertverlust ändert sich damit aber nicht. Bin mal gespannt, wie es bei den Zockern weitergeht. Als Soap-Opera ist das ja kaum zu überbieten 🙂