Okey, ich habe ein wenig gelogen – „nur“ der Regionalmanager Zürich von Partyguide bloggt:
Fabio „Lulu“ Di Lorenzo kenne ich bereits seit einer Weile – er hat nämlich just vor zwei Jahren meinen Server gehackt. Glücklicherweise hinterliess er derart viele Spuren, dass ich ihn dank Hinweisen im Error-Log und mit Links auf komischen Seiten ausfindig machen konnte – inkl. seiner Bluewin-Mail-Adresse.
Sicherheitslücke
Um mir auf einfachste Art und Weise Dateien zusenden zu können, hatte ich damals auf meinem (Windows)-Server ein selbergeschriebenes PHP-Upload-Script installiert. Mein Denkfehler: Damit war es möglich, auch PHP-Dateien (!) auf den Server zu laden. Eine gewisse Zeit lang bemerkte niemand diesen Fehler – bis „Lulu“ kam. Da Apache mit Windows-System-Rechten lief, hatte er so vollen Zugriff auf meinen Server – Glück im Unglück: Es wurden keine Daten gelöscht.
Heute läuft mein Server unter Debian, mit einem abgesicherten Apache und ohne Upload-Script.
Lulu: Willkommen in der Blogosphäre!
