✪ blog.schaufler

Google Code hat eine neue Webapplikation online gestellt, die noch löchriger ist sein Name (Jarlsberg, so der Name, ist ein norwegischer Käse). Jarlsberg ist ein mit Absicht unsicher programmierter Blog. Der schlanke, in Python geschriebene Jarlsberg-Server lässt sich auch downloaden und lokal installieren.

Die Applikation hat viele Schwachstellen. Cross-Site Scripting, Cookie Manipulationen, CSRF, SQL Injection, Pishing, DoS, können live ausprobiert werden, damit hat man schnell erste Erfolgserlebnisse. Zu jeder dieser Lücken gibt es Beschreibungen und Hilfestellungen.  Wie die Hacks funktionieren und wie die Schwachstellen im Code behoben werden können, wird ausführlich erklärt.

Nun aber auf zum fröhlichen hacken für Webworker. Damit Ihr auch herausfindet, was genau in der Datei secret.txt steht.

Aufmerksame Leser meiner Seiten haben es gemerkt. Mein (virtueller) Server wurde gecrackt. Der Einbruch erfolgte über eine veraltete Plesk Version 9. 0.1 auf Serverebene. Natürlich waren  auch noch viele andere Domains von diesem Einbruch betroffen.

Das Problem wurde uns erstmals um ca. 22:10 gemolden

Ist schon möglich, wobei ich exakt um 21.41 den Einbruch per Telefon “gemolden”  habe.
Auf allen diesen Domains wurde die Dateien index* überschrieben. Der Provider konnte die Backups nicht bei allen einspielen.

Es war jedoch technisch bedingt nicht möglich alle index Seiten wieder herzustellen

In einem Forum habe ich dann noch genaueres von Unaxus erfahren, danke. In 12 Jahren habe ich schon einiges erlebt bezüglich hosting und virtuellen Servern. Im letzten Jahrtausend die Episode agri.ch (heute Green). Danach Hostpoint und nun das. Macht mich ziemlich ratlos, das ganze.

Nun also den Supergau überstanden. Nach vier Tagen ohne Mail und nicht erreichbarer Website geht’s wieder. Die Mails habe ich nur bis zum 31.12.05 erhalten. Wo sind alle Neujahrsglückwünsche? Wohl im Daten-Nirwana von Hostpoint verschwunden? Auch meine MySql Datenbank habe ich gefixt, die Tabellen (von dem Backup) waren gründlich zerschossen. Mit einem “repair table TABELLENNAME” konnte ich sie flicken.

Ein schlechtes Gewissen habe ich weil ich vielen Kunden diesen Hoster empfohlen habe. Auch aus diesem Grund habe ich mir nun einen neuen Server gemietet. Hier werde ich in Zukunft meine Seiten und die meiner Kunden hosten können.

Nachtrag:
Die Mails aus diesem Jahr trudeln nun ein, aber was ich mir in diesen Tagen anhören (Freunde,Kunden) und ansehen (Provider) muss, ist nicht schön .
Bei der nächsten Winter-Mail-Migration lasse ich mich im Jura für 2 Wochen einschneien.

Sich einen Root-Server zu mieten wird immer günstiger. Einen Rootserver sicher zu betreiben ist aber ganz schön aufwändig. I Letzte Woche ist ein Rootserver-Wiki aufgeschaltet worden, dass einige installations Howtos bereitstellt (Debian installation, Firewall, Mail, Ftp, Sicherheit).
Übrigens, der schweizer Provider meisterwerk bietet ein UML Hosting für SFr. 20.- an.