Phishing! EMail-Absender ist nicht DENIC

Eine EMail, die mich heute erreichte, hat den Betreff “Umgehende Verifizierung erfoderlich | DENIC eG” und den gefälschten Absender “DENIC <>” – also keine Mailadresse. Hier der Inhalt:

Sehr geehrte Damen und Herren,

Gemäß Art. 82 Abs. 1 der neuen Datenschutzverordnung müssen alle in der EU registrierten Domains reverifiziert werden.Die Verifizierung kann ganz einfach von Ihnen Online vorgenommen werden. Bitte folgen Sie dem untenstehenden Link und geben Sie Ihren Domainnamen ein um die Verifizierung durchzuführen.

http://www.dsgvo-verifizierung.com

Bitte beachten Sie, dass die Verifizierung innerhalb der nächsten 14 Tage durchgeführt werden muss. Die DENIC ist eine eingetragene Genossenschaft mit Sitz in Frankfurt am Main (daher sagt man auch “die DENIC” und nicht etwa “das DENIC”). Bevor die Internet-Registrierungsstelle für .de im Jahr 1996 gegründet wurde, hat zuerst die Universität Dortmund, später die Universität Karlsruhe die .de-Endung verwaltet. Anders als viele andere Vergabestellen von Top-Level-Domains (.com, .org und viele mehr) ist die DENIC ein Non-Profit-Unternehmen, das als gemeinnützige Organisation anerkannt ist.

united-domains AG Gautinger Straße 10 82319 Starnberg Deutschland

Den eingefügten Link habe ich hier entschärft. Ich habe ihn im sicheren Tor-Browser unter Linux aufgerufen, es kam keine Verbindung zustande. Ich vermute, dass hier ganz plump Benutzerdaten abgegriffen werden sollten. Die sichere Markierung als Spam ist nicht ganz leicht, da es ja keine Mailadresse gibt, was technisch nur von Hackern bewerkstelligt wird. Die EMail ist nicht von der DENIC (hier ist heute seit dem 5.11.2018 auch eine entsprechende Warnung zu sehen!), sondern gehört in den Müll!

Basisschutz: WordPress absichern

Leider ist es mir selbst in der nahen Vergangenheit zweimal “gelungen”, dass diese meine WordPress-Installation gehackt wurde. Erkannt habe ich das zunächst daran, dass die im Frontend sichtbaren Plugins nicht mehr gingen (z.B. Formular, OSM-Karte) und dann im Backend daran, dass keine Plugins mehr da waren. Diese waren als Verzeichnisse/Files zwar noch vorhanden, aber beim Blick in beliebige PHP-Files zeigte sich, dass vorn dran zusätzliche per Hex-Schreibweise (\xnn) “verschlüsselte” PHP-Befehle eingefügt worden waren.

Ein dafür mögliches Stichword zum Suchen: “timthumbs” www.exploit-db.com/exploits/17602.

Nun konnte ich unmöglich in tausenden Files diese Einfügung entfernen. Zum Glück funktionierte das vorletzte Backup – das letzte war ebenso kaputt. Der zitierte Artikel gibt viele Hinweise auf Möglichkeiten, seine WP-Installation zu schützen. Unbedingt lesenswert!

Quelle: Basisschutz | WordPress absichern Teil1 | Kuketz IT-Security Blog

Nachtrag: Ich habe eine Sicherung des Verzeichnisses /admin/ mittels .htaccess und .htpasswd eingeführt und seitdem ist anscheinend Ruhe mit den hackerangriffen. Jedenfalls bekomme ich nichts mehr gemeldet.

Verhindern des Auslesens von Usernamen bei WordPress

Durch das Anhängen von /?author=1, /?autor=2 etc oder auch /?blabla&author=1 etc bekommt ein Angreifer den/die aktiven Benutzernamen in der URL zu sehen – das ist schon die halbe Information für einen Hacker-Angriff. Wie das leicht über die .htaccess-Datei verhindert werden kann, steht hier beschrieben:

RewriteCond %{QUERY_STRING} author=\d
RewriteRule ^ /? [L,R=301]

Can I prevent enumeration of usernames on my wordpress site? I can see users at the moment using the WPScan tool.

Quelle:
Can I Prevent Enumeration of Usernames?