Wohnzimmerhostblogger

Wir haben am Wochenende unser System um eine Art "zufälliges" Monitoring erweitert, bei dem wirklich jeder Webserver teilnimmt - ganz egal, ob es nun seine Aufgabe war oder nicht. Hierbei kommt zu dem normalen Test "Laufe ich selbst noch richtig" ein neues Feature hinzu, bei dem nach dem Zufallsprinzip eine Kundenwebseite herausgesucht und getestet wird - bei einem Fehler werden wir dann umgehend benachrichtigt.

Eigentlich eine super Funktion, wäre das neue System nicht sofort hingegangen und hätte jede Karteileiche in unserer Datenbank gefunden, getestet und für (zu Recht) offline befunden. :eek: Auch gesperrte Kundenwebsites hat das System als Offline erkannt, das Problem war aber eher schnell zu beheben.

... gestern durfte ich dann dementsprechend unsere Webserver-Datenbank aufräumen. Hat ja auch was!

Neben diesem Feature gab es noch ein paar weitere (für mich interessante) Updates, allerdings sind das leider mehr internas und nichts für den Blog.

Gerade eben äußerte ein Interessent bei ICQ Jabber folgenden Zusatzwunsch:

ahso, und ich hätte gern gegen Aufpreis einen Aufpreis gehabt..

Gerne!

Es ist mal wieder ein komisches Gefühl, den 11. September als einen Feiertrag zu bezeichnen. Die Assoziationen, die wohl die meisten anderen mit diesem Tag verbinden sind alles andere als feierlich. Und dennoch gibt es viele Menschen da draußen, die am heutigen Tag Geburtstag feiern.

In meinem persönlichen Umfeld gibt es auch so einen Kandidaten und ich kann es auch in diesem Jahr nicht aus dem Blog fernhalten, drum auch an dieser Stelle:

Von Herzen alles Gute zum Geburtstag!

Heute morgen habe ich ein wenig Klarschiff in unserer Buchhaltung gemacht. Genau genommen habe ich nach Buchungsfehlern gesucht und bin leider viel zu fündig geworden.

Ich mag es nicht, den Kunden direkt nach Einrichtung in die Buchhaltung zu tragen und dementsprechend recht zeitnah eine Rechnung rausgehen sehen. In der Regel warten wir damit 7 oder noch mehr Tage - die Zeitspanne ist allerdings schon lang genug, dass man den einen oder anderen Fall vergisst. Zwar haben wir für solche Fälle eine Art Suchfunktion, die deckt aber auch nicht längst alle Fälle ab...

Heute hieß das dann Rechnungen im oberen dreistelligen Wert schreiben und rausschicken. Wenn man bedenkt, dass das Webhosting im wesentlichen auch bei uns ein Massenmarkt ist, der sich über kleine Beträge zusammensetzt tut das schon ein wenig weh

phpMyAdmin ist gestern 10 Jahre alt geworden. Herzlichen Glückwunsch nachträglich natürlich auch von uns!

Wie ich das entsprechende Posting auf der Mailinglist gesehen habe, musste ich dran denken, wann ich meine ersten Erfahrungen im Internet gesammelt habe - das muss auch so um die Zeit herum gewesen sein. Allerdings hatte ich da von PHP und MySQL noch keinen blassen Schimmer. Auch war Linux und die ganze OpenSource-Gemeinde eine eher merkwürdige Truppe noch merkwürdigerer Geeks - aber okay, ich war auch jung und unerfahren

Ich habe mir Ende letzter Woche nochmal ein Herz gefasst und unser neues SMS Gateway-Applet im Kundeninterface fertiggestellt.

Die neue Version war eigentlich schon seit März mehr oder weniger in Entwicklung, blieb aber mehrfach aufgrund wichtiger API-Änderungen auf der Strecke. Die neue Version implementiert nun den bequemen Versand an mehrere Empfänger (auch mit unterschiedlichen Transport-Methoden), neue Datenschutz-Features wie z.B. das Anonymisieren der Empfänger-Nummern oder dem Löschen des SMS-Inhaltes nach erfolgreichem Versand, eine erste Version unseres SMS-Event-Forwarding (Bedarf noch dringend der Dokumentation) und natürlich die Verarbeitung von SMS-Zustellberichten

Wie ich eben unter anderem berichtete, wurde letzten Monat die eine oder andere Joomla-Installation bei uns geknackt.

Für den Kunden ist sowas natürlich immer recht tragisch und wir versuchen stets zu helfen wo wir können, aber (so böse das auch klingen mag) steht er für uns in einer solchen Situation nicht im Mittelpunkt. Viel wichtiger ist herauszufinden, ob das System selbst oder andere Kunden in Mitleidenschaft gezogen wurden, und viel Interessanter ist natürlich auch die Frage, wie es der Angreifer zu uns auf die Maschine geschafft und ob er Spuren hinterlassen hat.

In einem der zurückliegenden Fälle hatte ich richtig Glück, denn ich bekam vom Kunden die gesamte Webseite zur Verfügung gestellt, auf der sich noch vielerlei Spuren fanden, u.a. auch ein Tool Namens "r57shell".

Die r57shell ist wie der Name bereits vermuten lässt eine Art PHP-Shell, die den Webserver auf seine Fähigkeiten und mögliche Schwachstellen untersucht. Darüber hinaus gibt sie dem Angreifer - oder nennen wir ihn schlichtweg "Nutzer" - die Möglichkeit Dateitransfers zu starten, Dateien zu bearbeiten, Port-Weiterleitungen zu installieren und natürlich Programme auszuführen.

Ausgeliefert wird die r57shell in einem recht unleserlichen ("obfuscated") Zustand: Der Skript ist mehrfach mittels GZIP-komprimiert und base64-enkodiert. Wie mir die Datei in die Hände fiel habe ich es zuerst von Hand versucht, aber nach dem 5. Mal im Kreise drehen habe ich dann doch ein Programm geschrieben, dass den Skript für Menschen leserlicher erscheinen lässt.

Für uns ist es natürlich immer sehr wichtig, solche Skripte in die Hände zu bekommen, denn sie veranschaulichen recht schön, was Angreifer alles auf dem System versuchen um die Sicherheitsvorkehrungen zu umgehen. Im einfachsten Fall ist es schön zu sehen, dass alle Maßnahmen gut gegriffen haben und zu keiner Zeit Gefahr für die anderen Kunden und das System bestand - dieser Fall war so einer. So geht die r57shell nun in meine Angreifer-Skript-Sammlung ein und wird dort vermutlich einstauben. Ich glaube zwar nicht direkt, dass hier jemand um die Wahrung seiner Urheberrechte besorgt wäre, biete das Dingen aus sicherlich verständlichen Gründen aber nicht zum Download an. Für Interessierte müssten im Internet ein paar Screenshots rumgeistern ansonsten lässt sich das über eine Sandbox bestimmt nachholen

(zumindest die, von denen ich bescheid weiß) und dass er dementsprechend bloß die aktuellste Version nehmen sollte und auch das Updaten nicht vergisst.

Als Reaktion darauf bekam ich einen doch recht gewöhnungsbedürftigen Lösungsvorschlag:

sollns von mir aus täglich knacken, spiel ich jeweils nen backup ein

... Er wird schon wissen, was er da tut :eek: