In meiner aktuellen Reihe „𝘚𝘪𝘤𝘩𝘦𝘳𝘩𝘦𝘪𝘵𝘴𝘭𝘶̈𝘤𝘬𝘦𝘯 𝘴𝘤𝘩𝘯𝘦𝘭𝘭 𝘨𝘦𝘴𝘵𝘰𝘱𝘧𝘵“ war ich erst am überlegen ob ich überhaupt erwähnen sollte, dass man 𝗗𝗶𝗿𝗲𝗰𝘁𝗼𝗿𝘆 𝗟𝗶𝘀𝘁𝗶𝗻𝗴𝘀 𝘀𝗽𝗲𝗿𝗿𝗲𝗻 𝗸𝗮𝗻𝗻, weil der Impact nicht so groß ist. Soweit so gut, da habe ich mich wohl geirrt. Aber Eins nach dem Anderen:
𝗘𝗿𝘀𝘁𝗺𝗮𝗹 𝗵𝗲𝗿𝗮𝘂𝘀𝗳𝗶𝗻𝗱𝗲𝗻 𝗼𝗯 𝗱𝗮𝘀 𝗗𝗶𝗿𝗲𝗰𝘁𝗼𝗿𝘆 𝗟𝗶𝘀𝘁𝗶𝗻𝗴 𝗮𝗸𝘁𝗶𝘃 𝗶𝘀𝘁
Zum Glück lässt sich das total einfach prüfen. Gebt doch einfach in der URL für Eure Domain am Ende einfach mal /wp-includes/ ein. Wenn eine weiße Seite ohne Inhalt, ein 404-Fehler oder ein 500er Server Error dabei rauskommt, kein Grund zur Sorge. Das Directory Listing ist allem Anschein nach nicht aktiv.
Sollte jedoch eine Baumstruktur wie damals beim Norton Commander (Oh mein Gott, bin ich alt) erscheinen, wäre ich, wenn ich Du wäre ein kleines bisschen beunruhigt.
𝗩𝗲𝗿𝘀𝘂𝗰𝗵 𝗱𝗼𝗰𝗵 𝗺𝗮𝗹 /𝘄𝗽-𝗰𝗼𝗻𝘁𝗲𝗻𝘁/𝘂𝗽𝗹𝗼𝗮𝗱𝘀/ 𝗮𝘂𝘀
Sollte das Directory Listing bei dir aktiv sein, gib in deiner URL doch mal den o.G. Pfad ein. Du wirst feststellen, dass der Browser brav alles auflistet was du da so bei deinen Uploads hast. In dieser Struktur wird wirklich alles aufgelistet, was du jemals hochgeladen hast. Auch die Sachen, die man im Frontend gar nicht sehen kann oder soll.
𝗪𝗶𝗲 𝘀𝗽𝗲𝗿𝗿𝘁 𝗺𝗮𝗻 𝗱𝗮𝘀 𝗗𝗶𝗿𝗲𝗰𝘁𝗼𝗿𝘆 𝗟𝗶𝘀𝘁𝗶𝗻𝗴?
Nu kommts: Ganz einfach mit einem Einzeiler. Folgenden Schnipsel fügst du bitte ans Ende deiner .htaccess Datei:
Options All -Indexes
und das wars.
𝗗𝗮𝘀 𝗗𝗶𝗰𝗸𝗲 𝗘𝗻𝗱𝗲 𝗸𝗼𝗺𝗺𝘁 𝘇𝘂𝗺 𝗦𝗰𝗵𝗹𝘂𝘀𝘀:
Als ich also so mit den Google Operatoren herumspielte um Seiten zu finden, die diese Schwachstelle haben (nein ich verrate nicht was ich gesucht habe) fiel mir eine Seite ins Auge.
Und theoretisch könnte ich geschaut haben ob der Upload Ordner erreichbar war. Auch nur rein theoretisch befand sich in dem Upload Ordner ein Bild mit dem Namen adminaccess.jpg.
Und es währe mehr als Spekulation, wenn ich versucht hätte, die Daten die dort gestanden haben in die Loginmaske einzugeben. Wie hoch wäre wohl die Wahrscheinlichkeit, dass ich nach der Eingabe in einem WordPress System gesteckt habe?
Nunja jedenfalls hätte ich, wenn es so gewesen wäre jeden Falls alles brav wieder geschlossen und dem Administrator der Seite den Hinweis geschickt dieses Bild zum Einen zu löschen und zum Anderen das Listing zu deaktivieren.