Kostet nix? Kann nix taugen!

Fortune begrüßte mich gerade mit folgender Weißheit:

The Consultant’s Curse:
When the customer has beaten upon you long enough, give him what he asks for, instead of what he needs. This is very strong medicine, and is normally only required once.

Außer einem „stimmt!“ weckte das auch Erinnerungen an einen (nicht ganz kleinen)  Kunden, der für seine Homepage ein Forum haben wollte.

phpBB schied von vornherein aus, weil es für seine Sicherheit „berühmt“ ist. (Das Zitat von Cristian Rodríguez auf der opensuse-project-Mailingliste „ohh.. and ensure that you dont use phpBB, I repeat, dont use phpBB or you will regret it !! my dog writes better code than that :-P“ fasst das ganz gut zusammen.)

Ich machte mich daher auf die Suche nach einem guten und sicheren Forum, das ich mit dem „Unclassified Newsboard“ dann auch fand (sehr gute Doku, auch stichprobenhafte Überprüfungen des Codes sahen gut aus). Ich machte also eine Testinstallation, die dem Admin des Kunden recht gut gefiel.

Allerdings hatte niemand mit seinem Chef gerechnet – der entschied frei nach dem Motto „Kostet nix? Kann nix taugen!“, dass er keine freie/kostenlose Software will und er lieber Geld für kommerzielle Software aus dem Fenster wirft ausgibt. (Die Homepage lief übrigens mit Typo3, aber das nur am Rand.)

Die Entscheidung fiel also auf ein kommerzielles Forum, das dann auch installiert wurde.

Nach ein paar Wochen fiel mir auf, dass der Server seltsame Dinge[tm] macht.
In diesen Fällen ist „ps Zaux“ in Kombination mit AppArmor und einem Hat pro VirtualHost hilfreich – so findet man schnell raus, welcher vHost einen Prozess gestartet hat.

Das Ergebnis deutete genau auf das supertolle, weil teure Forum. Unter dem vHost des Forums lief stundenlang ein Perlscript, obwohl das Forum in PHP programmiert war. Killen half nur temporär, weil es kurz danach (durch Abruf einer bestimmten PHP-Datei) wieder gestartet wurde. Ich schrieb also eine kleine .htaccess (der Klassiker – „Deny from all“) und gab dem Kunden Bescheid, dass sein Forum gehackt wurde.

Wie das Perlscript, das übrigens „wwwrun“ gehörte, auf den Server kam, ließ sich durch Googeln nach „$forumname exploit“  schneller klären als durch den Blick in die Logs.
Foren haben ja das nette Feature, dass man ein Avatarbild hochladen kann. Der Trick war dann, ein „Bild“ namens „meinfoto.php“ und/oder „meinfoto.pl“ hochzuladen und anschließend im Browser zu laden.

Einige Zeit später stand in den Suchergebnissen zu „$forumname exploit“ übrigens, dass dieser Bug vom Hersteller gefixt wurde – quasi als Entschädigung konnte man jetzt aber beliebige Dateien runterladen ;-)

Und was lernen wir daraus?

1. Der Kunde brauchte „plötzlich“ doch kein Forum mehr.

2. Bevor man irgendeine Software installiert, sollte man vorher den Namen + „exploit“ googeln. Ab einer siebenstelligen Trefferzahl empfehle ich, sich nach Alternativen umsehen ;-)

PS: Ich möchte hier keinen an den Pranger stellen, weil das Ganze schon ein paar Jahre her ist und sich die Codequalität seitdem (hoffentlich) verbessert hat – nur soviel: der Name des gehackten Forums klingt ziemlich heiß ;-)


Dieser Beitrag wurde unter Management veröffentlicht. Setze ein Lesezeichen auf den Permalink.

2 Antworten auf Kostet nix? Kann nix taugen!

  1. WobIntosh sagt:

    Wenn es das System ist, von dem ich es denke, scheint es besser geworden zu sein 😉

    Ich kenne eine Community mit ca. 2.000 aktiven Usern, seit 1,5 Jahren ohne Hack – wenn’s denn das ist

    • cboltz sagt:

      Das lässt sich problemlos prüfen, ohne zu viel zu verraten 😉

      $hersteller bitte mit dem Firmennamen füllen (ohne die Geschäftsform o. ä.), und dann

      echo -n "salt${hersteller,,}" | md5sum -
      db04a38cf2d1730f4967e661f9abe050 -

      Na, passt das? 😉

      (BTW: ohne salt hätte ich tatsächlich zu viel verraten – die md5sum des Firmennamens lässt sich via Google finden…)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *