Wordpress wp_login und redirect_to

[codie]

hallo ihrse da

ich habe einen zugriff ("hackversuch") von google unter der url http://blog.domain.com/wp-login.php?redirect_to=http://blog.domain.com/2008/05/model-piep-anna-piep-sich-auf-piep-piep-piep-sowie-piep/ (aus gründen des jugendschutzes zensiert  ) gemeldet bekommen.

ich weiss zwar nicht wieso google unbedingt diese url aufrufen wollte, aber das ist 'n anderes thema
edit: hab's grad entdeckt *gg*

jedenfalls bekomme ich vorgeschlagen, daß ich /../ zur whitelist hinzufügen könne
punkt 1: wieso /../ 
punkt 2: selbst nach hinzufügen von /../ wird der aufruf als hackversuch geblockt (redirect_to steht bereits in der whitelist)

grüße
codie

[schlumpfi]

hi,

das mit dem anzeigen der empfohlenen whitelist "/../" ist glaube ich noch ein bug in der 1.5.0.6
kann man getrost ignorieren.

schick mir mal bitte den gesamten query string (angriff unter mehr anzeigen lassen).
dann guck ich mal nach.

mfg

[codie]

dann kann ich das /../ also getrost aus der WL entfernen...

pm ist raus.

achso...
spamwortfilter hab ich, aus wahrscheinlich ersichtlichen gründen, nicht aktiviert 

edit
mal eben noch was off-topic reinschmeissen was ich vergessen hab...

'n dickes lob an euch für die arbeit, die ihr für den hackertracker aufgebracht habt
/edit

[codie]

hab rausgefunden was den hackversuch verursacht hat...

es war das /mod in der url.

auf einem anderen blog, mit einem ähnlichen beitrag, hat er selbiges angezeigt - wiedermal für google , allerdings schlug ctx mir dort /mod für die whitelist vor.

/blog/wp-login.php?redirect_to=http://www.domain.com/blog/amateure/1297/model-piep-chats-von-joker27/

[schlumpfi]

hab rausgefunden was den hackversuch verursacht hat...

es war das /mod in der url.

auf einem anderen blog, mit einem ähnlichen beitrag, hat er selbiges angezeigt - wiedermal für google , allerdings schlug ctx mir dort /mod für die whitelist vor.

/blog/wp-login.php?redirect_to=http://www.domain.com/blog/amateure/1297/model-piep-chats-von-joker27/

 
wieso wird ein command mit wp_login.php witergeleitet nach ner anderen seite???
versteh ich nicht...

für mich ist das ein hackversuch auf wp_press ebene...
man versucht dir in der datei  wp_login.php über den befehl redirect_to einen link unterzuschieben.
das ist so denke ich (hab noch nicht genauer getestet) ein post-befehl, der als spam gesendet wird..(dein log aus der pn), weil so eine adressen url haben nur spammer...
=> "http:// .....  /model-*-anna-verwohnt-sich-auf-*-*-*-sowie-*/"

würde vorerst /mod wieder entnehmen...
kümmer mich genauer am wochenende dadrum, bin eben erst wieder nach hause gekommen...

mfg

[schlumpfi]

hi codie,

hab mir dein problem genauer angesehen.
die logfile deutet auf ein exploit hin, das externe dateien in dein system einladen will..

zum bugfix:
1) im anhang eine datei "wormprotector.txt"
2) diese auf deinen server laden
3) in das verzeichnis vom ctxtra ... /includes/wormprotector.txt
4) bestehende datei überschreiben, fertig

nun sollten einige geblockte angriffe bei dir erscheinen mit signatur "redirect_to"
wenn das zu viele sind oder du andere probleme bekommst,
melde dich bitte nochmal


mfg schlumpfi

[Nordin]

für mich ist das ein hackversuch auf wp_press ebene...
man versucht dir in der datei  wp_login.php über den befehl redirect_to einen link unterzuschieben.
das ist so denke ich (hab noch nicht genauer getestet) ein post-befehl, der als spam gesendet wird..(dein log aus der pn), weil so eine adressen url haben nur spammer...
=> "http:// .....  /model-*-anna-verwohnt-sich-auf-*-*-*-sowie-*/"

Das ist kein Hack- oder Spamversuch... Ist ja seine Seite wie er sagte
Und wp-login.php?redirect_to ist dafür da wenn du auf einer seite bist und dich dann eingelogt hast... dann lenkt er danach zurück auf die Seite wo du grad warst und nicht in den Adminbereich... Oder wie in einem Forum du bist in einem Beitrag willst was schreiben und bist nicht eingelogt.. dann lengt er dich nach dem login wieder zu diesem Beitrag oder der Antwortenseite.

Ohne jetzt aber was getestet zu haben sage ich mal nimm nicht /mod sondern /model somit wird alles andere in dem "/mod" vorkommt weiterhin geblockt.

[codie]

sooo...
...hat 'ne weile gedauert, aber ich hab euch noch nicht vergessen... dank nordin

hi codie,

hab mir dein problem genauer angesehen.
die logfile deutet auf ein exploit hin, das externe dateien in dein system einladen will..

...

nun sollten einige geblockte angriffe bei dir erscheinen mit signatur "redirect_to"
wenn das zu viele sind oder du andere probleme bekommst,
melde dich bitte nochmal

ähm.. ja, genau.

wie nordin schon schrieb ist das meine blogurl gewesen (http:// .....  /model-*-anna-verwohnt-sich-auf-*-*-*-sowie-*/)
das script hat halt, wie es sich gehört, nur auf das /mod reagiert und dabei ausser acht gelassen, daß es sich hierbei nicht um eine modifikation (von irgendwas) sondern um ein model handelt

die sache mit dem "redirect_to" war auch so 'ne sache...
...im wordpress - wie es in anderen blogs aussieht weiss ich nicht - steckt hinter den seitenspezifischen links zum login ein redirect_to zur aktuellen seite, so daß man nach dem login wieder dort landet, wo man auf den login link klickt.
diese links ist der gurgelbot (die doofnuss) logischerweise gefolgt und hat damit auch einen hackversuch gestartet - zumindestens nach dem script


alles in allem hab ich das script aber erstmal aus den blogs und den dazugehörigen seiten entfernt und werd mich um die kleinigkeiten kümmern, wenn ich wieder zeit dafür hab.
solange darf gurgle die seiten auch noch als solche sehen... statt der aussage, daß gurgel hackt (wobei ich dies nicht ganz ausschließen will "Don't be evil - aber 'n bißchen stänkern darf man schon...") 

ich danke euch jedenfalls (erstmal) für eure mühen

grüße
codie