Mein Senf, …
Apfeltalk basiert auf vBulletin, das ist kein Geheimnis und auch keine Schande. Viele Webseiten setzen (mehr oder minder) freie Forensoftware (wie vBulletin oder phpBB, …) ein …
ABER: wird einmal eine Schwachstelle bekannt, bricht die Hölle los. Ein Wurm, ein cracker-Infizier-die-Webseiten-Script kann hunderte, tausende von Anfragen erstellen und hunderte oder tausende Server angreifen und versuchen die Schwachstelle auszunutzen. Auf der anderen Seite stehen besten falls versierte Admins, welche die Schwachstellen JEDER AUF SEINEM SERVER stopfen, meist aber mehr oder minder ahnungslose User, mit auspacken-und-los-gehts-Mentalität. Diese Seiten werden dann infiziert und für alles mögliche misbraucht: SPAM, DDoS-Attacken, ausnutzen von Sicherheitslücken.
~
Unlängst gab es einen phpBB-Wurm, der en mass einen user-account angelegt hat. Spekulationen gab es, warum - weil sonst tat der Wurm nichts, und der Account war leicht zu identifizieren. Es haben sich zwei Theorien durchgesetzt, die zusammen eine sehr grausame ergeben: Es war (theorie 1) ein prof-of-concept, ein test ob es möglich ist millionenfach gültige und aktive accounts anzulegen um (theorie 2) eventuelle Schwachstellen automatisch auszunutzen, die nur ausgeführt werden könne, wenn man einen aktiven und gültigen account hat …
~
Ich möchte hier garnicht unterstellen, das es ein dedizierter machen-wir-mal-apfeltalk-platt-Angriff ist. Ich betreue 4 root-server auf denen mitunter recht populäre Webseiten gehostet werden. Einen Server haben wir vor drei Wochen ausgetauscht, weil er aus unerfindlichen gründen immer mit Lastproblemem zusammengebrochen ist. Es war ein SuSE 8 - der neue Server, Debian, ist deutlich anders strukturiert, hat einen neueren kernel, der ip-filter läuft und siehe da: im Error-Log tauchten plötzlich misteriöse Script-Aufrufe auf, die auf dem alten Server nicht im Error-Log standen. Duibiose phpMyAdmin-Aufrufe, unsinnige MAMBO-CMS-Parameter, AWStats.pl-Aufrufe mit überlangen URL-Parametern und der gleichen.
Kurze Recherchen: für ältere phpMyAdmin-Versionen sind diverse Sicherheitslücken bekannt - .htaccess-Passwortabfagen können unter anderem umgangen werden … MAMBO ist löchrig wie ein schweizer Käse und AwStats kann, wenn als perl-script direkt aufrufbar durch gezielte Parameter zum auslesen beliebiger Files auf dem Server verwendet werden - all das tauchte (nach meiner aktuellen theorie) im alten Error-Log nicht auf: WEIL: diese Angriffe zum Teil erfolgreich waren. Es ist zwar kein AwStats im Einsatz und MAMBO auch nicht, aber eine alte phpMyAdmin-Version war in dem Confixx2 verankert - glück im unglück hatte ich bei dem umzug, weil gerade als der transfer von Alt auf Neu per scp angestoßen war, rauchte bei dem alten server das netzteil ab …
~
Lange Rede kurzer Sinn - ich drück die daumen das wir das unbeschadet überstehen …
