Mittwoch, 15. Februar 2006, 23:35 Uhr

Partyguide bloggt

Okey, ich habe ein wenig gelogen – „nur“ der Regionalmanager Zürich von Partyguide bloggt:

dilorenzo.ch

Fabio „Lulu“ Di Lorenzo kenne ich bereits seit einer Weile – er hat nämlich just vor zwei Jahren meinen Server gehackt. Glücklicherweise hinterliess er derart viele Spuren, dass ich ihn dank Hinweisen im Error-Log und mit Links auf komischen Seiten ausfindig machen konnte – inkl. seiner Bluewin-Mail-Adresse.

Sicherheitslücke

Um mir auf einfachste Art und Weise Dateien zusenden zu können, hatte ich damals auf meinem (Windows)-Server ein selbergeschriebenes PHP-Upload-Script installiert. Mein Denkfehler: Damit war es möglich, auch PHP-Dateien (!) auf den Server zu laden. Eine gewisse Zeit lang bemerkte niemand diesen Fehler – bis „Lulu“ kam. Da Apache mit Windows-System-Rechten lief, hatte er so vollen Zugriff auf meinen Server – Glück im Unglück: Es wurden keine Daten gelöscht.

Heute läuft mein Server unter Debian, mit einem abgesicherten Apache und ohne Upload-Script.

Lulu: Willkommen in der Blogosphäre!

Tags:
Labels: Linux

Kommentar erfassen