Glorf IT

Bei Leslie Franke gibt es ein paar sehr nützliche und gut gemachte Cheat Sheets ("Spickzettel") zu verschiedenen Themen. Man kann sie verlinken, speichern und ausdrucken:

• HTML (HTML PDF)
• CSS (HTML PDF)
• Java Syntax (HTML PDF)
• Firefox (HTML PDF)
• Thunderbird (HTML PDF)

Fröhliches spicken…

Jetzt hätte ich fast den 2000ten SPAM-Kommentar übersehen. Nach der Installation des "Math Comment Spam Protection Plugin" im November hatte ich für den Rest des Jahres Ruhe. Seit letzter Woche kommen täglich satte hundert Spam-Kommentare, wobei mir unklar ist, wie die das schaffen.

Aber Dank "Akismet" werden die schneller rausgefiltert als sie schauen können…
😉
Bis ich dazu komme selber Hand an die Software zu legen, bitte ich um Nachsicht, falls ein Kommentar doch mal fälschlicherweise als Spam gewertet wird und ich das nicht oder erst spät bemerke.

Als ich die vielen 404er Meldungen sah (nicht alle stammen von den Angriffen), habe ich mittels des kostenlosen und nützlichen Werkzeugs "WebSpider" von Xaldon meine Webseite überprüft. Das Werkzeug kann man sehr flexibel einsetzen und gehört deswehgen schon seit vielen Jahren zu meinem festen Werkzeugkasten.

Meine bevorzugten Aufgaben für das Tool:

1. Gibt es auf meiner Webseite tote Links?
2. Lokales Speichern einer kompletten Website (mit Umbiegen der Links auf die gespeicherten Seiten).

Letzteres ist vor allem nützlich, wenn man auch unterwegs nicht auf seine Lieblingsseite, z.B. die Lieblings-FAQ, verzichten will. Vor Jahren als ich noch ein (damals schnelles) 33er Modem und einen Minutentarif (aber wenig Geld) hatte, nutze ich das noch viel öfter, um Dinge in Ruhe und offline lesen zu können, z.B. Comics. Mit DSL und Flatrate nutze ich es eher selten, aber immer wieder gerne.

Durch die Ereignisse der letzten Tage war ich natürlich sofort hellhörig als ich die heute Meldung über die neue WordPress-Version 2.0.6 (Download) im WordPress-Development-Blog sah. Leider konnte ich dort keine Infos zu dem Sicherheitsproblem finden.

Die Suche nach mehr Infos führte mich zu SecurityFocus.com. Dort kann man unter "Exploit" sehen, dass dies nicht die Angriffe waren, die ich bekam. Aber sie sehen auch recht eklig aus.

Um die Wirkungsweise zu verstehen, muss man sich die Änderung ansehen: Wenn ich es richtig verstehe, dann wurde der Schadcode erst durch den Admin ausgelöst, wenn die "recent" URLs angezeigt wurden. Fies!

Also besser mal updaten…

Neben dem gerade erwähnten Angriff über getarnte Anführungszeichen habe ich noch einen anderen Typus entdeckt:

Es wird versucht Spams über die Mail-Benachrichtigung "E-Mail Notification" in WordPress zu verschicken.

Anders als im anderen Fall, sind es hier aber immer andere IP-Adressen. Hier zum Beispiel die Liste der IP-Adressen vom 2.1.2007:

• 165.228.132.11 – Australien (Telstra Internet)
• 201.245.175.173 – Columnbien (UNIVERSIDAD DE PAMPLONA)
• 212.138.64.175 – Saudi Arabien (Saudi Network Information Center)
• 212.85.201.250 – Ghana (Africa Online Ghana Ltd)
• 219.250.50.116 – Korea (Hanaro Telecom)
• 59.144.163.244 – Indien (BTNL Delhi)
• 62.150.35.230 – Kuweit (QualityNet)
• 81.169.162.53 – Berlin (Strato Rechenzentrum)

Wegen der Ähnlichkeiten der Angriffe könnte es gut sein, dass hier jemand einfach auf den obigen Rechnern eine Backdoor eingeschleust hat, die er ausnutzt.
Gerade die letzte Adresse stützt diese These. Bei den Zugriffen wurden verschiedenste Adressen ausprobiert, um den Speicherort des WordPress-PlugIns zu finden. Offenbar gab es da auch mal ein paar Treffer bei mir, die ich schon mal erwähnte. Damals habe ich das Plugin einfach entfernt, daher bringen die Versuche bei mir nichts…

Einige identifizieren sich übrigens als "PycURL/7.15.5", andere geben sich als "Opera 9.0" aus. Oder kann man Opera so automatisieren, dass es massenweise POSTs abschickt, Tobbi?

Beispiel 1:
81.169.162.53 - - [02/Jan/2007:20:42:29 +0100] "POST /maillist/index.php HTTP/1.0" 404 27027 "http://www.glorf.it/blog/" "Opera/9.0 (Windows NT 5.1; U; en)"

Beispiel 2:
219.250.50.116 - - [02/Jan/2007:11:11:19 +0100] "POST /blog/category/allgemein/maillist/index.php HTTP/1.1" 404 26348 "http://www.glorf.it/" "PycURL/7.15.5"

Da hier nichts zu holen ist, sehe ich keinen Anlass zu Gegenmaßnahmen. Das WordPress-PlugIn scheint ja jedenfalls ein lohnendens Ziel zu sein…

Aufgrund des Postings "WordPress: Attacken wegen aktivierter Permalinks" im Software-Guide-Blog habe ich ebenfalls das dort erwähnte 404-Plugin für WordPress installiert. Es hat zwar seine Schwächen, aber dennoch bin ich dankbar. Denn auch bei mir förderte es heftige Angriffe auf meine Webseite zu Tage. Und ich hatte mich schon über die plötzliche Beliebtheit meiner Seite gefreut… 😉

Beispielsweise gab es alleine über 300 "Zugriffe" (oder sollte ich Angriffe sagen?) von der IP-Adresse "202.179.183.28". Die Analyse des Problems konnte leider nicht mit dem Plugin durchgeführt werden. Dazu habe ich ganz einfach die Log-Files ausgewertet.

Dabei habe ich mehrere Typen von Angriffen identifiziert. Hier beschreibe ich mal den ersten Typus.

Es kamen unheimlich viele Zugriffe der Art (von nur wenigen IP-Adressen, aber über den ganzen Tag verteilt – vermutlich damit es nicht auffällt):

/blog/2006/10/28/sql-talk/%22%22
/blog/2006/07/25/webtech/%22%22
/blog/2006/07/08/entspannung/%22%22
/blog/2006/08/10/webtech/%22%22
/blog/2006/09/06/sql-talk/%22%22
/blog/2006/07/18/allgemein/%22%22
/blog/2006/08/08/allgemein/%22%22
/blog/2006/08/08/sql-talk/%22%22

Am 2.1.2007 von:
202.179.183.28 – Korea (NHN)

und am 3.1.2007 von:
222.122.195.251 – Korea (Korea Telecom)
202.179.183.28 – Korea (NHN)

Leider sieht man in den Logfiles nicht das komplette abgeschickte Kommando, deswegen weiß ich nicht, was genau dahinter steckt. Ich schaffte es auch nicht aus Google etwas Nützliches rauszukitzeln. Wenn man aber weiß, dass ASCII 22 (Hex 22) einfach nur das doppelte Anführungszeichen (") ist, dann kann man sich denken, wie der Anfragestring weiterging… Gar nicht so dumm.

Wenn man dem Empfänger mit dem Anführungszeichen erst mal Glauben gemacht hat, dass die URL zu Ende war, dann kann man ihm danach unter Umständen noch ein paar Gemeinheiten unterjubeln. Man kann beispielsweise versuchen eine Lücke auszunutzen, z.B. einen Buffer-Overflow. Hat WordPress einen Bug in der Richtung? Das man nicht einfach nach "%22%22" suchen kann, erschwert die Nachforschungen erheblich.

Was tun?

Dem Vorschlag von Michael folgend, habe ich jetzt mal meine .htaccess-Datei erweitert:

RewriteEngine On
RewriteRule \"\" – [F,NE]

Ich hoffe, dass ist hinreichend entmutigend für die Eindringlinge. Die Analyse hat zwar Spaß gemacht, aber eigentlich wollte ich heute Abend andere Dinge posten…

Nachdem man Allerorten (besonders bei Tobbi) davon liest, wie schön es sich mit dem Live-Writer schreibt, probiere ich den jetzt auch mal aus. Bisher verwende ich gerne das FireFox-Plugin "Performancing", aber ich bin offen für alles (was nicht heisst, dass ich nicht ganz dicht bin).

OK, genug der Kalauer. Hier ein paar Punkte die mir im ersten Eindruck auffielen:

• Zur Installation ist ein Benutzer mit Admin-Rechten notwendig. Das ist aus meiner Sicht unnötig.
• Das Bloggen und Browser passiert in zwei unterschiedlichen Fenstern, d.h. man muss immer zwischen denen springen oder die Fenster entsprechen klein machen.
• Drag&Drop von Links geht zwar, aber die Links werden so dargestellt: https://addons.mozilla.org/firefox/1730/. Um den Link-Text zu verändrn muss man Rechtsklick machen und manuell eingeben. Ich bin es gewohnt, dass wenigstens der Titel der Seite automatisch als Link-Text automatisch kommt.
• Alles ist Wysiwyg, ganz hübsch, aber die speziellen Dinge mache ich manchmal dann doch von Hand. Da muss ich erst rausfinden, wie das geht.
• Man kann in mehreren Weblogs posten.
• Man kann PlugIns nachrüsten. Habe auch schon mal ein paar im Live-Writer-Blog gesehen. Alles was erweiterbar konzipiert ist, zieht normalerweise eine Community an.
• Man kann relativ einfach Technorati-Tags vergeben (siehe unten). Dazu war ich bislang zu faul…
• Und naja, wie es mit den Smilies aussieht, muss ich mal ausprobieren… 😉 🙂 🙁 😛
• Jetzt habe ich mich gerade an die Rechtschreibkorrektur von Firefox gewöhnt, da würde es hier nur mit englischen Postings gehen. Aber das kommt bestimmt mit der Freigabe-Version.

Es gibt dann noch ein paar Bugs, die dann aber vernutlich zur Freigabe beseitigt sind: Alle Kategorien werden auf einer Ebene dargestellt, Umlaute in Kategorien werden hässlich dargestellt.

Hm, das klingt jetzt etwas negativ. Positiv ist, dass die Bedienung wirklich intuitiv ist und man meines Erachtens keine Einarbeitung benötigt. Ich denke, ich werde das mal wohlwollend im Auge behalten.

Am Wochenende entdeckte ich die Suchmaschine Pagebull. Sie bietet eine Vorschau zu den Treffen, z.B. pro Seite 12 Sites. Das finde ich mal ganz interessant. Mal sehen, wie sich das bewährt.

Achtung: Nur für Breitbandanschlüsse geeignet.

Im beiliegenden Video wird vorgestellt, wie man per Google eine ganze Reihe von WebCams zur Überwachung finden kann.

Security Webcam Viewing – video powered by Metacafe

Hier die verwendeten Suchbegriffe:

inurl:ViewerFrame?Mode=
inurl:ViewerFrame?Mode=Refresh
inurl:axis-cgi/jpg
inurl:axis-cgi/mjpg
inurl:view/indexFrame.shtml
inurl:view/index.shtml
inurl:view/view.shtml
liveapplet

Mit dem ausgesprochen nützlichen Dienst ip-adress.com kann man sich anzeigen lassen wo man jetzt gerade ins Internet gegangen ist, falls man mal verwirrt sein sollte. Bei mir ist das Nürnberg, aber da bin ich gar nicht. Genaugenommen zeigt er nur den Sitz des Inhabers der IP-Adresse an… 😉

Immerhin liefert es einen ersten Anhaltspunkt, falls man herausfinden will, von wo jemand mit einer bestimmten IP-Adresse aus ins Internet gegangen ist.

Ich fand den Link zu ImageChef heute irgendwo. Er inspirierte mich dazu mal zusammenzutragen, welche Möglichkeiten mir schon mal über den Weg gelaufen sind, um ausgefallene beschriftete Bildchen online zu erstellen. Wenn Ihr weitere kennt, dann ergänzt das bitte als Kommentar.

ImageChef

Bei ImageChef kann man Schilder mit sehr vielen Vorlagen malen lassen. Die Möglichkeiten sind teilweise sehr gut.

RedKid

Auch bei RedKid gibt es eine gute Auswahl an Vorlagen für seine Bilder:

CoolText

CoolText lässt einen coole Schriftzüge und Buttons designen.

WarningLabelGenerator
Bei WarningLabelGenerator lassen sich beliebige Warnschilder erstellen.

Buttonator

Beim Buttonator muss man erst mal Mitglied werden, aber es lassen sich ganz hübsche Buttons erzeugen.

GeoGreetings

Bei GeoGreetings kann man seinen Text mit Luftaufnahmen von Gebäuden darstellen lassen. Ziemlich abgedreht.

Link mit animiertem Aufbau

SignBot

Bei SignBot kann sich eine ziemlich penetrante Laufschrift erstellen lassen:

Web 2.0 Logo Generator

Den Web 2.0 Logo Generator gibt es leider offensichtlich nicht mehr. Er war vermutlich so erfolgreich, dass ihn die Macher vom Netz nehmen mussten. Er war schließlich eigentlich als Persiflage gemeint, kam aber enorm gut an…

Die Meinung, dass nur verlinkte Seiten oder Dateien von Suchmaschinen gefunden werden, hält sich derartig hartnäckig, dass ich diese Diskussion inzwischen schon sehr oft geführt habe…

Wer ebenfalls dieser Meinung ist, der kann bei Google ja mal nach "nur für den internen Gebrauch" suchen. Jedesmal, wenn ich zu Demonstrationszwecken danach suchte, war die Trefferquote von tatsächlich vertraulichen Dingen erstaunlich hoch.

Man kann aber auch nach anderen Dingen suchen, z.B. nach offenen Verzeichnissen, die Daten enthalten. Im Folgenden einfach den <name> durch den Namen oder ein Stichwort ersetzen. Und anstelle von &tl;type> einfach die gesuchte Dateierweiterung setzen:

-inurl:(htm | php | html) intitle:"index of" +"last modified" +"parent directory" +description +size +"<name>" +<type>

Zum Beispiel nach MP3s von "vorname nachname":

-inurl:(htm | php | html) intitle:"index of" +"last modified" +"parent directory" +description +size +"vorname nachname" +mp3

Interessant, wie einfach es die Plattenfirmen haben, wenn sie jemanden wegen Urheberrechtsverletzungen drankriegen wollen, oder?

Man kann auch ganz gezielt nur in einzelnen Domänen suchen mit "site", zum Beispiel: site:microsoft.com +whitepaper +"sql server 2005" +Virtualization

Damit kann man auch ganz gezielt seine eigene Site nach Sicherheitslecks durchsuchen… 😉