Mountain Prophet

..am gehackten Server. Und das ist noch freundlich ausgedrückt. Inzwischen bin ich mir 99.9% sicher, dass mein Hackerfreund “TurkishHacker hacked” eine Joomla CMS Installation einer Partneragentur auf einem unserer Server benutzt hatte, um diesen Server erst mal wieder zum virtuellen Boxenstop zu bringen. Unser lieber Partner geht nämlich nach dem Motto vor: einmal installiert, nie mehr aktualisiert. Sicherheitsfixes sind für Warmduscher und sichere Passwörter sind Passwörter mit möglichst wenigen Buchstaben weil so sicher zu merken.

So kam es dann auch, das eine Joomla Version 1.0.5 sich auf dem Server austobte, in einer Zeit in der die Liste der Joomla Sicherheitslöcher der aktuellen 1.0.10 Version, also nur wenige 5 Releases später, alleine schon den halben Bildschirm bei Secunia einnimmt. In diesem Hinblick nur war es dann nur noch wenig überraschend, dass das SuperUser Passwort einer seiner Kundeninstallationen schlicht und ergreifend “admin” lautete – was die höchst sicherer Kombination aus Benutzername: admin mit Passwort: admin ergab. “Der Kunde hat es wohl nie geändert”, war die Antwort. Dieses Ding stand also defakto zig Wochen mit sperrangelweit offener Türe in der Gegend rum. Jedes gottverfluchte Scriptkiddie lässt admin/admin im ersten Durchgang seines 133t hax0r Scriptes mal austen.

Nein, der Kunde ist nicht Schuld, sowas wird in dieser Form überhaupt nie an einen Kunden übergeben! Lokal auf dem HeimPC kannst du von mir aus solche Passwörter vergeben, aber auf meinen live Servern hat sowas zu keiner Zeit was zu suchen. 

Auf die Frage, wo denn die lt. unseren AGBs anzulegenden lokalen Kopie des zerschossenen Template Verzeichnisses sei, kam die Antwort: “Ach, ich hab mir vor ein paar Monaten mal ausversehen meine externe Backup-Festplatte formatiert”. 

“Ich dachte Eure Server sind sicher!”, das mußte ich mir die letzten 3 Tage einige Male anhören. Ja, das dachte ich auch mal, aber wenn Schwachmaten am Ruder sind, kann ich auch nix retten. Aber ich habe die Sicherheit dieses Servers nun mit einem Handgriff verdoppelt: der Partner hostet nun bei 1Blu. Da gehts mich nichts mehr an. Wünsche den Kollegen von 1Blu sehr viel Spass.

Da reisst man sich tagein, tagaus den Hintern auf, um für Sicherheit auf den Servern zu sorgen und solche Nasen scheren sich einen Dreck um die einfachsten Grundregeln. Und solche Leute schimpfen sich dann noch Internet Agentur.

Ich könnte Kotzen, den ganzen Tag.

Tags: CMS, Joomla, Mambo, Meine Kunden

Manchmal kann die Web-Arbeitswelt schon gemein sein. Wiedereinmal setzt man sich hin, analysiert die Fehler und Schwachpunkte einer bestehenden Seite, schreibt ein ausführliches Angebot und bekommt dann zu hören:

Ach, das is aber nett, ich geb das mal meinem Neffen, der macht das ganze Interwebsdings ganz gut…

Toll, dafür mach ich mir eigentlich die Mühe nicht. Auf die Idee, dass 2 Seiten Fehlerbeseitigungen an der aktuellen Homepage eben daher kommen, weil der Neffe halt doch keine Ahnung hat, kommt er natürlich ned. Oder ist zu geizig trotz unserer niedrig kalkulierten Fixpreisen und deutlich niedrigerem als normalen Stundensatz, seine doofe Seite von jemandem machen zu lassen, der ne Ahnung hat.

Nunja, dann soll er halt weiterhin mit ner Firmenhomepage im Web stehen, die aussieht, als ob se von nem farbenblinden Orangutan auf die Leinwand geschissen wurde. Ist ja auch egal, denn weil der Webexperten-Neffe die Frames Technik eh nicht gerafft hat, siehts zumindest keiner der wenigen Besucher mit Internet Explorer – also so ca. 85% der möglichen Kunden. Und ein Impressum brauchen wir auch nicht, ist schon klar. Wo sind eigentlich die Abmahnvereine, wenn man mal einen braucht? Hätte da nen Tipp.

Tags: Meine Kunden