Apr 9 2008

Netzmeisterei

Dank dem im letzten Jahr eingeführten Elterngeld leiste ich mir derzeit den Luxus, zwei Monate nicht zur Arbeit zu gehen, sondern intensiv Zeit mit meinem Sohn zu verbringen. Da der aber immer noch etwa 13 Stunden am Tag schläft, habe ich hie und da ein paar freie Minuten, in denen ich mich endlich mal wieder den von mir freundschaftlich betreuten Internetauftritten widmen kann.

Just in dieser Zeit wurde leider die Homepage der Fachschaft Amerikanistik von einer Trackback-Spamwelle hinfortgespült: mein Provider hat zuerst kurzfristig den Datenbankzugriff verhindert und schließlich meinen Account wegen Überlastung „strafversetzt“, weshalb ich die Website erstmal offline genommen habe, bis sich die Fachschaft bei mir meldet, um Alternativen zu überlegen – falls überhaupt gewünscht. Mit der kommerziellen Forensoftware IP.Board geht es jedenfalls nicht weiter, solange die jährlichen Lizenzkosten nicht gezahlt werden und ich daher keine Sicherheitspatches mehr beziehen darf. Es gibt zum Glück kostenfreie, ganz brauchbare Alternativen, vor allem das Simple Machines Forum gefällt mir sehr gut. Ich kenne es schon über ein Jahr von meinem virtuellen Stammtisch bei Hell Is Other People.

Auch eine andere Website, die ich betreut habe, wurde heute zu Grabe getragen: 1-800-splattertainment.org hat seine Inhalte aus dem Netz genommen und harrt der Domainfreigabe. Die Leser müssen nun zwar auf die kürzesten Filmkritiken, die ich je gelesen habe, verzichten, aber Rudolf Inderst führt derweil ein eigenes Blog, neben seinen Veröffentlichungen beim Filmspiegel. Mal sehen, ob die anderen Autoren es ihm gleichtun.

In Zusammenhang mit den massiven Zugriffen auf amerikanistik.org sind mir die Logfiles des Webservers eingefallen, die ich seit Jahren brav sammle. Ich habe noch keine gute Auswert-Software für diese Logfiles ausfindig gemacht und mir heute einen kurzen Überblick über freie Analysetools verschafft. Da ich mit dem heillos veralteten Webalyzer, der mir von meinem Hoster angeboten wird, so gar nicht zufrieden bin, werde ich nun AWStats ausprobieren, das mir sehr brauchbar erscheint. Wohlgemerkt geht es um die Auswertung von Logfiles, für Live-Statistiken und dergleichen gibt es neben Google Analytics andere gute Lösungen wie beispielsweise chCounter, welches man selbst hostet.

Und schließlich suche ich derzeit auch nach einem guten Redaktionssystem (CMS) für kleinere Projekte in der Familie. Voraussetzungen: natürlich muss es bei meinem Hoster laufen können (PHP, Perl, Python, Ruby, MySQL), ich muss mich schnell einarbeiten können, einige sinnvolle Features wie Rechteverwaltung, SEO-Optimierungen und Security-Features sollten an Bord oder leicht nachrüstbar sein, es sollten barrierefreie Seiten möglich sein, und kostenlos sollte es sein.
Bisher habe ich erste Erfahrungen mit dem vielgelobten Drupal gesammelt (unter anderem bei 1-800-splattertainment), es ist mir aber zu ‚anders‘ in der Bedienung – zumindest in der Version 4, weiter bin ich noch nicht gekommen. Das liegt wohl an der Ausrichtung am Taxonomie-System, was sicherlich zeitgemäß ist, mir aber doch sehr viel Umgewöhnung abverlangt.
Daher habe ich mich weiter umgesehen und bin recht häufig auf ein relativ neues Projekt namens TYPOlight gestoßen. Es ist anders als man erwarten würde keine abgespeckte Version des übermächtigen Typo3, sondern ein eigenständiges, leicht zu installierendes, leicht zu begreifendes und dennoch gut ausgestattetes Content Management System des deutschen Entwicklers Leo Feyer. Das Backend ist geradlinig, die Rechteverwaltung sehr detailliert, die Anleitung verständlich. Mein erster Eindruck ist durchweg positiv, ich werde das anstehende Projekt mal damit umsetzen und sehen, ob sich das bestätigt.
Bei der Suche bin ich auch auf andere Systeme gestoßen, die eine Erwähnung wert sind: CMS Made Simple, CMSimple, MODx, Der Dirigent und e107 können sich ebenfalls sehen lassen.

So, jetzt gehts wieder zurück zum Tüfteln und Basteln.

Flattr this!


Mai 30 2007

Haltet den Dieb!

Grundsätzlich finde ich es ja fein, wenn andere Leute von meinen Kreationen begeistert sind. Aber bevor sie einfach so für gewerbliche Zwecke verwendet werden, möchte ich doch wenigstens mal gefragt werden. Auch wenn es nur ein unscharfes Handy-Foto ist. Besonders, wenn auch noch ge“hotlinked“ wird, sprich das Bild mit der URL von meinem Server eingebunden wird, so dass ich auch noch für den Traffic bezahle. Tja, da das hier nicht passiert ist…

Böser Webshop

….sieht die Startseite der Firma nun so aus:

Böser Webshop beautified

Ach nö, doch nicht, ich hab grad so viel Spaß…

Tolles Equipment

Wenn sich der Herr nun melden möchte – er darf das Bild vom Billy Idol-Konzert gerne von meiner Seite herunterladen, auf seinen Webserver hochladen und für die Startseite verwenden. Ich schicke ihm sogar eine auf die gewünschte Größe optimierte Version. Ich möchte nicht einmal einen Copyright-Vermerk haben. Ich möchte nur gefragt werden.

Danke fürs Zuhören.

Mein Licht- und Ton-Equipment hole ich übrigens bei SUBSONIC ;-)

Flattr this!


Mai 6 2006

[[ Eddy_BAck0o ]] pOwNeD mY bOx

Am Abend des 4. Mai wurde mein Webhosting-Account „gehackt“ und ein Defacement der meisten der von mir gehosteten Domains vorgenommen.

Nach meiner Untersuchung des Falls ergibt sich folgendes Bild:

Um 19:39:16 Uhr klickt der Defacer, der sich „Eddy_BAck0o“ nennt, auf ein Suchergebnis auf Seite 23, nachdem er bei Google Jordanien folgenden Suchbegriff eingegeben hat: Invision Power Board +v2.1.5 inurl:"org". Er scheint des arabischen mächtig zu sein, denn die Ausgabesprache von Google ist auf arabisch eingestellt (ok, ist ja auch google.jo). Dennoch nutzte Eddy einen PC mit einem us-amerikanischen Windows XP, wie mir die Browser-Signatur seines Firefox verrät.

Seine IP-Adresse lässt sich von mir auf Anhieb nicht näher lokalisieren, sie ist direkt dem RIPE Network Coordination Centre mit Sitz in Amsterdam zugeordnet.

Der Suchbegriff lieferte ihm alle Foren mit der Invision-Software, die bei der letzten Google-Indizierung noch auf Version 2.1.5 liefen, und den URL-Bestandteil „org“ haben. Darunter fiel auch das Forum von Amerikanistik.org. Dort angekommen registrierte er sich gleich mit dem Namen aaaaa unter Verwendung einer E-Mailadresse bei Hotmail.com. Anschließend klickte er auf das erste Thema unter ‚Latest Discussions‘ und verfasste eine Antwort, die bestimmten Code enthielt, welchen er gleich darauf für eine SQL Injection in der Suchfunktion des Forums nutzte. Um den Beitrag zu finden, verwendete er das Stichwort „thothoeval“ im Text. Der eigentliche schadhafte Code wurde in die URL der Suchergebnisseite über einen manuell hinzugefügten Parameter „lastdate“ eingeschleust. Eddy editierte den Beitrag nach dieser Aktion, ersetzte ihn durch einen plakativen Kommentar bezüglich des Fachschafts-Logos (s. Link weiter oben) und verschleierte so sein Vorgehen.

Über die SQL Injection gelang es ihm, ein PHP-Skript namens „r57shell“ in Version 1.23 zu installieren. Um seine Spuren zu verwischen benannte er das Skript geschickt um und legte es in einem unverdächtigen Ordner ab. Im Logfile treten nämlich ab diesem Zeitpunkt nur noch auf den ersten Blick harmlose Aufrufe einer Hilfeseite aus dem Forums-Cache auf. Erst als ich einen Blick auf diese URL warf, konnte ich das Tool entlarven. Mithilfe dieses Tools, das eine HTML-Oberfläche zur Manipulation des Webspace zur Verfügung stellt, konnte Eddy nun per WebFTP seine manipulierten Startseiten in die Hauptverzeichnisse der Domains ablegen. Freundlicherweise legte er dabei lediglich neue „index.html“-Dateien ab und ließ die vorhandenen „index.php“-Seiten unberührt. Mir kam zugute, dass die index.html Vorrang vor der index.php hat und ich ausschließlich index.php-Seiten verwende. So war es dann einfach für ihn, sein Defacement vorzunehmen, und einfach für mich, es wieder zu entfernen. Nur bei der alphanummerisch ersten Domain machte er sich die Mühe und ersetzte die index.php-Seite ebenfalls.

Nach jedem Ablegen der Index-Seite hat er seine Tat in der Defacement-Datenbank von zone-h eingetragen, welche daraufhin automatisiert mit einem Perl-Skript einen Abzug des Defacements machte und zum Datenbankeintrag der jeweiligen Domain hinterlegte. Die Defacements nahm er der Reihe nach vor und kontrollierte die Seite stets vorher und nachher, manchmal öffnete er zuvor noch ein, zwei Links der Sites.

Um 20:10:31 Uhr wurde die letzte Aktivität seiner IP-Adresse verzeichnet.

Ich vermute, Eddy ist entweder ein jordanisches Skriptkiddie, das nach offiziellen (Domain-Endung .org) Foren gesucht hat, welche USA-affin aussehen, um seinen Unmut über Islam-verachtende Politik zu äußern. Das Amerikanistik-Forum hat eine patriotisch wirkende Optik und deswegen seine Aufmerksamkeit erregt. Der Text seiner Seite legt eine entsprechende Ideologie nahe:

dENmARk !! YOU FUCKED UPPPPPPPP !!

LONG LIVE MUSLIMMMMMMMS AND SHo0tz DA BITCHES SERVERSSSSS DOWN !!

Oder es war ein Skriptkiddie (Kiddie wegen des verwendeten Leetspeak), das mir Glauben machen will, er käme aus Jordanien, und sendet lediglich Grüße an seine Kumpels nEt_dEvil, ReD DeVils CreW, Triad, OutLaW, BiyoSecurityTeaM und TheHacker. Mir fehlt noch ein aussagekräftigeres Ergebnis des IP-Trace, um das mit größerer Wahrscheinlichkeit sagen zu können.

Dass auch die anderen von mir verwalteten Domains in Mitleidenschaft gezogen wurden, war wohl nur ein Ausnutzen der Gelegenheit, weil Eddy eben auch auf diese Zugriff erlangte.

Zone-h gibt vor, mit ihrer Arbeit Druck auf Administratoren auszuüben, ihre verwendete Software stets aktuell zu halten, beziehungsweise die Softwarehersteller dazu zu bewegen, bekannte Sicherheitslücken ihrer Produkte schnellstens zu beheben. Ich glaube nicht so recht, dass zone-h mit ihrer Datenbank dieses Ziel erreicht, sondern befürchte, dass die zu einem Ranking für Skriptkiddies verkommt, die sich damit brüsten, möglichst viele Websites manipuliert zu haben. Das legt zum Beispiel auch diese Meldung nahe. Andererseits können sie so schöne Statistiken anfertigen und präsentieren (PDF).

Ich habe die Gelegenheit genutzt und diverse Skripte aktualisiert, einige veraltete Test-Sites gelöscht, und diverse Passwörter geändert. Ein großes Lob an den Support meines Hosting-Providers domain)factory – die wie immer sehr umfangreich und prompt auf meine Supportanfrage reagiert haben. Fein ist auch, dass ihre Hotline kostenlos erreichbar ist. Mal sehen, wann Invision auf meinen Hinweis bezüglich der Sicherheitslücke in der Suchfunktion der Forensoftware reagiert.*

An dieser Stelle nochmal ein dickes Dankeschön an die Leute, die mich auf das Defacement hingewiesen haben – namentlich Juliane, Torsten, Rudi und Botsch, sowie Barbara und Eva im Forum. Ich habe die Mails und Anrufe gestern vormittag gelesen und gehört, war aber zu beschäftigt, um jedem einzelnen zu antworten. Und schön zu sehen, dass mein Blog auch regelmäßig besucht wird. :)

*Ergänzung: ich hab mich beim ersten Kontaktieren vertan und die Anfrage gar nicht abgeschickt. Beim zweiten Versuch hatte ich innerhalb von 6 Minuten die Antwort, dass die Sicherheitslücke bereits mit dem 8 Stunden vor dem Hack veröffentlichten Patch behoben wurde. Beim nächsten Mal muss ich also einfach schneller reagieren…

Flattr this!