Bitte beachten: der obige Titel aus dem Jahre 2009 ist nicht ganz korrekt.

• "Teil I" legt nahe, dass es einen Teil 2 gäbe. Gibt es aber (noch?) nicht.
• Es sind nur 25 Meldungen beschrieben, der Rest sollte wohl im Teil 2 folgen.

Aber es sind wirklich kreative 404er Meldungen von verschiedenen Webseiten.

Das ist eine JavaScript-Bibliothek, um schnell und einfach moderne Webseiten zu ermöglichen. Ich werde es wohl nicht mehr schaffen das anzuschauen, aber bevor es veraltet gebe ich den Tipp mal weiter…

Dabei sendet der Browser an Facebook unter anderem als Referer die URL der gerade geöffneten Spiegel-Seite. Außerdem schickt er dem Facebook-Server auch das von ihm bereits früher gesetzte Cookie. Ist der Anwender gerade in einem anderen Fenster bei Facebook angemeldet, enthält das seine Sitzungs-ID. Damit kann Facebook diesen Aufruf der Spiegel-Seite einer konkreten Person zu ordnen.

Konkret kann Facebook also während Sie dort angemeldet sind beobachten, welche Web-Seiten Sie aufrufen, sofern diese einen solchen Like-Button enthalten. Angesichts des Erfolgs des sozialen Netzwerks nimmt deren Zahl ständig zu. Und anders als Statistik-Server wie Google Analytics, die IVW oder auch die Server von Anzeigen-Dienstleistern, die mit anonymisierten Daten oder schlimmstenfalls IP-Adressen arbeiten, kann Facebook diese Daten direkt mit einer realen Person verknüpfen, deren Adresse und Freunde es kennt.[…]

Das mit dem Like-Button war schon eine schlaue Idee von Facebook…

Einen der Log-Einträge habe ich bereits vorher erklärt (ist nur an zwei Stellen anonymisiert):

Daran sieht man, dass nicht unser Webserver kompromittiert und dann der Schadcode via CMS eingeschleust wurde, sondern der FTP-Zugriff von einem anderen System (174.37.220.147 sind wir nicht) erfolgte. HIer sieh man, wie eine der verseuchten Dateien gespeichert, manipuliert und noch in der gleichen Sekunde wieder hoch geladen wurde. Danach war sie um ein iframe reicher (Bitte nicht der URL folgen, ist absichtlich kein Link!):

Aus naheliegenden Gründen habe ich nicht ausprobiert, was dieser fremde Link für Code nachlud. Ich hoffe, dass er nicht viel Schaden anrichtete. Unsere Seite würde nämlich sehr schnell von einschlägigen Seiten als bösartig eingestuft. Daher warnten Firefox, Safari und Google vor dem Besuch unserer Seite.

Nach der Änderung aller Passwörter (und dem Eintragen der DB-Passwörter in tausend INIs) und der Bereinigung der Seite, fing die eigentlich Arbeit an. Weil mir unklar war, wie der Gauner an das FTP-Passwort kam (der eigentliche Betreuer der Webseite ist in Urlaub), konnte ich nur vermuten. Es sieht nicht danach aus, als wäre die Seite kompromittiert worden, sondern eher der Rechner eines der FTP-Nutzer dieser Seite. Trotzdem habe ich sämtliche Software darauf aktualisiert, das war ohnehin fällig.

Aus der Erfahrung meine Tipps in der Situation:

• cool bleiben und nichts einfach löschen
• Die Domäne einfach mal in ein leeres Unterverzeichnis umleiten oder wenigstens die Index-Seiten als erstes einfach mal umbenennen, um die Leser mit älteren Browsern, die nicht warnen, zu schützen.
• Das FTP-Passwort ändern.
• Wenn genug Bandbreite da ist (sehr zu empfehlen): Den aktuellen, verseuchten Stand lokal sichern, sonst nur die infizierten Dateien separat speichern.
• Mittels einen DIFF-Tool, wie bspw. BeyondCompare (billig und gut) den aktuellen Stand auf dem Webserver mit der letzten lokalen Sicherung vergleichen und die betroffenen Dateien ermitteln.
• Die Log-Dateien sichten, bei uns wurde ich schnell im FTP-Log fündig.
• Mit der letzten Sicherung zurück setzen.
• Alle Passwörter ändern, die in irgendwelchen Dateien stehen, selbst wenn die Dateien nicht per FTP herunter geladen wurden. Ein Bösling könnte sie auch per PHP zippen und dann als Zip runter laden. Ich persönlich wurde das auch tun, wenn ich in den Logs genau sehen kann, dass sonst nicht weiter herunter geladen wurde.
• Domäne wieder auf den nun sauberen Stand umleiten und nötigenfalls Updates aller Software einspielen.
• Google, Firefox, etc davon überzeugen, dass wir wieder zu den Guten gehören.

Das Timing war übrigens perfekt: Der eigentliche Betreuer in Urlaub, mein griffbereites letztes Backup Monate alt, Ostern, schönes Wetter, …

Hier ein Beispiel aus dem echten Leben:

Das bedeutet:

• Am 19.4.2011 um 14:02 wurde
• die Datei "index.htm" aus dem Rootverzeichnis (Verzeichnis anonymisiert)
• mit der Größe 65 Bytes heruntergeladen
• vom FTP-Benutzer yyyyyyyy von der IP-Adresse 174.37.220.147
• gelesen ("o" für "output").
• Und sofort danach mit der Größe 198 Bytes hoch geladen.

Weitere Infos findet man im WU-FTPD – Manual: xferlog.5.

[…]
Received: from mail1.asiacloudhosting.com (mail2.asiacloudhosting.com [111.90.129.166])
by dd20200.kasserver.com (Postfix) with ESMTP id 09F3F181D9B5A
for ; Wed, 9 Feb 2011 07:10:09 +0100 (CET)
Received: from 84.127.18.120.dyn.user.ono.com (84.127.18.120.dyn.user.ono.com [84.127.18.120]) by mail.asiacloudhosting.com with SMTP;
Wed, 9 Feb 2011 13:54:41 +0800
Subject: Bewerbung als Manager Kassierer
From: sales@ezstamp.com.my
To: webmaster@[…]
Date: Wed, 9 Feb 2011 07:10:09 +0100 (CET)

Guten Tag,

die Geschaftsleitung unserer Firma dankt Ihnen ganz herzlich dafur, dass Sie sich fur unsere Stellenausschreibungen interessiert haben.
Die Gesellschaft KiwiClimate positioniert sich als ein Dealer der gro?ten Hersteller der Klimagerate, wie z.B. SAMSUNG, YORK, LG. Uberdies ist unsere Gesellschaft ein Handelsvertreter von AIRELEC Firmen (diese Firmen produzieren Heizaggregate), von VIESSMANN (das ist eine Firma aus Deutschland, die Dampferzeuger produziert), von Systemair (eine schwedische Firma, die sich mit Beluftungs- und Heizungsanlagenherstellung beschaftigt), von LIEBERT-HIROSS und UNIFLAIR (italienische Unternehmen, die im Bereich der Herstellung von feinen Klimageraten fur Telekommunikationen, Computerzentren und Kommunikationen tatig sind) und von Soler&Palau, (eine spanische Firma, die Beluftungsgerate produziert). KiwiClimate mochte ein ausfuhrliches Leistungsangebot unseren ukrainischen Partnern und Kunden in den anderen Republiken prasentieren. Um es zu schaffen, bemuhen wir uns ein Netz der Dealer in der ganzen Ukraine zu formen. Wir stellen unseren korporativen Partnern und Dealer spezielle An
gebote zur Verfugung. Diese Angebote schlie?en nachfolgende Plus ein: gunstigere Preise, breites Sortiment an Geraten, gute Lieferungs- und Zahlungstermine, verschiedene Moglichkeiten als Unterlieferant sich mit der Lieferung der Gerate und ET, ihrer Montage und Inbetriebnahme zu beschaftigen. Au?erdem kann man als Dealer Servicedienstleistungen erbringen, Schulungen des Personals vor Ort organisieren und Werbungsprogramme unterstutzen.
Da unsere Firma sich stabil entwickelt und erweitert suchen wir jetzt aktive und verantwortungsbewusste Personen, die sich fur einen seriosen Job interessieren und die sich einigen Problemen mit Steuern in unserem Staat gegenuber mit Verstandnis verhalten werden. Zuerst mochten wir gerne die ukrainische Situation bezuglich Wirtschaft darstellen. Dafur stellen wir Ihnen die Angaben einer aufschlussreichen Analyse zur Verfugung. Diese Analyse, die eben PayingTaxes hei?t, wurde zusammen von der Weltbank und von der Wirtschaftsprufungsgesellschaft PriceWaterhouseCoopers durchgefuhrt. Laut dieser Bewertung kann man sagen, dass die Steuerwirtschaft in der Ukraine sich zu lastigsten weltlichen Systemen zahlt. Das kann leicht illustriert werden: 99 verschiedene Arten von Steuern ist die Zahlungspflicht fur die Geschaftsleute in der Ukraine. Zeitaufwand fur alle diesen Zahlungsoperationen betragt etwa 2 Tausend Stunden! Davon ausgehend, bekommt der Staatsschatz ca. 72% des Gewinns d
er Firmen, die legal arbeiten. Die Steuerwirtschaft in der Ukraine kann man als ein sehr kompliziertes System bezeichnen, geschweige denn, dass der Staat selbst die Gesetze immer wieder andert (die Presse gab folgende Angaben als Beispiel: das ukrainische Mehrwertsteuergesetz beinhaltet mehr als 500 Abanderungen, dafur wurden 100 zusatzliche Gesetze erstellt). In der Steuerwirtschaft der Ukraine sollen unbedingt Reformen durchgefuhrt werden, die zur Optimierung des o.g. Systems fuhren sollen. Die Auditoren von PriceWaterhouseCoopers meinen, es sei sehr schwierig sich mit einem rechtlichen Business in der Ukraine zu beschaftigen. Deshalb versuchen die Firmen optimale Steuerbedingungen fur sich auszusuchen. In erster Linie hat das Bedeutung wenn die Firma sich eroffnet, reorganisiert, andert ihre Aktivitaten, sucht neuen Personal usw.
Eine Position, die man als extra verantwortungsvoll bezeichnen kann ist die Stelle eines Manager-Kassierers. Das ist eine Person, die mit regionalen korporativen Geschaftspartnern was zu tun hat. Obwohl, wie gesagt, diese Position viel Verantwortung beinhaltet, verlangt sie keinen gro?en Aufwand. Als unsere Hauptanforderungen konnen wir folgendes nennen: Sie sollten fahig sein Prasentationen durchzufuhren; mit den Leuten positiv zu kommunizieren und damit mit denen gute und stabile Geschaftsbeziehungen zu bilden; Vertrauen der Partner zu gewinnen und aufrechtzuerhalten; die Zahlungen fur die Waren und Leistungen, die jeweils geliefert und erbracht wurden, zu uberwachen; Umsatz im Zahlungsverkehr in der Betriebsbuchhaltung beim Stammhaus durch marktfahige Systeme der Zahlungen zu kontrollieren; mit gutem Erfolg zu verhandeln und dabei ganz ehrlich zu sein.
Falls Sie alles gut verstanden haben und mit uns gerne arbeiten mochten, dann waren wir sehr froh von Ihnen eine Antwort zu bekommen und danach Ihnen weitere Anweisungen zur Verfugung zu stellen. Unsere Geschaftbeziehungen werden vertraglich rechtskraftig beurkundet, weil wir mit Ihnen eine Vereinbarung bezuglich Ihrer Dienstleistungen als unser Agent schlie?en.

Wenn Sie bereit sind anzufangen und fur Sie dabei alles klar ist, dann bitte kontaktieren dir@kiwiclimate.biz Sie uns noch mal fur weitere Anweisungen.

Herzliche Gru?e,

Verstehe ich das richtig, dass hier Leute zum Zweck der Geldwäsche gesucht werden?

Die Domäne kiwiclimate.biz wurde jedenfalls erst vor genau 6 Tagen auf einen Besitzer in Frankreich registriert, unter der angegebenen Mailadresse wurden offenbar schon 588 Domänen reserviert. Eine Webseite www.kiwiclimate.biz gibt es nicht…

Update 13.12.2010: Bei Heise.de steht der Grund: ein Hardwareausfall. Wenn die richtige Hardware ausfällt, dann nutzt es rein gar nichts, wenn der Rest redundant ist…

Microsoft möchte die "Besitzer" solcher IEs gezielt ansprechen und sie zum Update auf eine aktuelle Version bewegen. Besitzer anderer Browser werden nicht belästigt und merken von der Aktion auch nichts. Dazu muss ich ausnahmsweise ein Java-Script ausführen. Das ist übrigens das einzige Java-Skript hier. Wer also für meine Seite Java-Skript verbietet, der hat keine Nachteile. Und ja, das ist echt eine Microsoft-Aktion. Die tun das.

Wer schon so lange im Internet Webseiten erstellt wie ich, der wird wissen was für ein Krampf es ist IE-konforme Webseiten zu erstellen. Der IE8 ist ja erstmals ein Schritt in die richtige Richtung, der IE9 soll geradezu standard-freundlich werden. Allein wegen der Erfahrung mit den alten Versionen surfe ich persönlich seit Jahren mit Firefox.

Benutzer mit einem Internet Explorer 6 werden alle 6 Stunden zum Upgrade aufgefordert. Die Meldung kann über das "x" weg geklickt oder ignoriert werden:

Benutzer mit Internet Explorer 7 werden ebenfalls alle 6 Stunden zum Upgrade aufgefordert:

Benutzer mit Internet Explorer 8 sehen einmal pro Woche eine Werbung für den IE9-Beta:
Meldung als Info-Bar:

Die Meldungen bei IE6 und 7 finde ich prima, die bei IE8 nicht so richtig, aber die kommt ja nur ab und ab. Diese Belästigung bitte ich zu entschuldigen. Bedenkt: wenn ein paar Leser den IE6 in die Wüste schicken, dann ist doch schon etwas gewonnen. Ob jemand jetzt den Firefox einsetzt oder den neuen IE ist dagegen fast nebensächlich…

Da schon Fragen kamen, wie denn das geht: Ich habe im Body das Java-Script "Internet Explorer Detection" von Microsoft eingebunden. Da man das im Quelltext ohnehin sieht, kann es wohl kaum geheim sein:

Wer den Inhalt des Java-Skriptes sehen will, dem hilft bspw. "Firebug".

Und bitte denkt daran, dass es keine Frage des Geschmackes oder der Vorliebe ist, ob man mit einem alten Browser surft, sondern eine Frage der Sicherheit.

• iOS-Jailbreaks: Das Katz- und Mausspiel geht weiter: Offenbar gibt es unter den iPhone-Besitzern einen starken Freiheitsdrang, der die engen Regeln von Seiten Apple nicht hinnehmen will. Die große Freiheit macht auch Android interessant:
• Umfrage: App-Entwickler setzen perspektivisch auf Android: "Knapp 60 Prozent der knapp 2400 an der Erhebung teilnehmenden App-Entwickler favorisieren Android als Betriebssystem der Zukunft im Bereich mobiler Applikationen." iPhone kommt auf 35%. Das setzt aber voraus, dass der Vertrieb von den Apps für Android attraktiv wird. Dafür will offenbar Amazon sorgen:
• Kommentar: Warum Amazon einen Android-Store öffnen will: "Der Bedarf an einem großen Android-Softwareladen ist durchaus vorhanden. Google hat seinem Android Market zu wenig Aufmerksamkeit gewidmet und die eklatanten Schwächen nicht oder zu langsam behoben."

Da kommt eine spannende Zeit auf uns zu…

• Kombinationsstarke Kleider nur für Sie, lieber Herr Gloerfeld
  Kleider? Da bin ich ja richtig scharf drauf… Was mögen, die von mir denken?
• Fom Mr. Ming Yang
  "From" oder "Fom" – auch egal: jedenfalls ohne mich
• manner as in Pers. 453, [Greek: phtharentes]="shi
  Offenbar hat die Spamsoftware die Steuersequenzen nicht verarbeitet, sondern einfach als Text abgeschickt… So wie hier: [fett]Filialfachverkäufer (m/w)[/fett]. Ob da sich nun lauter Übergewichtige melden?
• Finden Sie Ihr persönliches Lieblingsteil, lieber Herr Gloerfeld
  Ich habe schon eines und kaufe bestimmt kein Neues bei dem Modegeschäft, dass mir auch schon oben die Kleider anbot…
• Danke Thilo!
  angeblich vom "Freundeskreis Thilo Sarrazin"… im Text verlinkt auf den Google-Cache einer mit Sicherheit bösartigen Seite.
• Bueno <INS style="DISPLAY: none">措</INS>
  Ob das eine neue Technik ist irgendeinen Müll ausführen zu lassen? Dafür ist das doch fast etwas kurz, der Müll…
• FKK Datenbank
  Ist das die neue Datenbank-Technik?
• Wollen Sie wirklich fett sein?
  Wollen Sie mich wirklich beleidigen? Wer liest denn Mails mit so einem unverschämten Betreff?
• Grüße aus Hong Kong
  schrieb Peter Wong
• Lassen Sie Ihre Kollegen ueberraschen mit Brand zeitmesser -80%
  vermutlich Werbung für angebliche Schweizer Markenuhren.
• Anspruch Information!!!
  Der Anspruch hat hier bei seinem Sinkflug den Boden durchschlagen. Daher mache ich hiermit Schluss…

Weitere witzige SPAM-Betreffs sind willkommen.