Aug 25 2006

Fehlendes Sicherheitsdenken war Schuld..

veröffentlicht in Kategorie WebWork  

..am gehackten Server. Und das ist noch freundlich ausgedrückt. Inzwischen bin ich mir 99.9% sicher, dass mein Hackerfreund “TurkishHacker hacked” eine Joomla CMS Installation einer Partneragentur auf einem unserer Server benutzt hatte, um diesen Server erst mal wieder zum virtuellen Boxenstop zu bringen. Unser lieber Partner geht nämlich nach dem Motto vor: einmal installiert, nie mehr aktualisiert. Sicherheitsfixes sind für Warmduscher und sichere Passwörter sind Passwörter mit möglichst wenigen Buchstaben weil so sicher zu merken.

So kam es dann auch, das eine Joomla Version 1.0.5 sich auf dem Server austobte, in einer Zeit in der die Liste der Joomla Sicherheitslöcher der aktuellen 1.0.10 Version, also nur wenige 5 Releases später, alleine schon den halben Bildschirm bei Secunia einnimmt. In diesem Hinblick nur war es dann nur noch wenig überraschend, dass das SuperUser Passwort einer seiner Kundeninstallationen schlicht und ergreifend “admin” lautete – was die höchst sicherer Kombination aus Benutzername: admin mit Passwort: admin ergab. “Der Kunde hat es wohl nie geändert”, war die Antwort. Dieses Ding stand also defakto zig Wochen mit sperrangelweit offener Türe in der Gegend rum. Jedes gottverfluchte Scriptkiddie lässt admin/admin im ersten Durchgang seines 133t hax0r Scriptes mal austen.

Nein, der Kunde ist nicht Schuld, sowas wird in dieser Form überhaupt nie an einen Kunden übergeben! Lokal auf dem HeimPC kannst du von mir aus solche Passwörter vergeben, aber auf meinen live Servern hat sowas zu keiner Zeit was zu suchen. 

Auf die Frage, wo denn die lt. unseren AGBs anzulegenden lokalen Kopie des zerschossenen Template Verzeichnisses sei, kam die Antwort: “Ach, ich hab mir vor ein paar Monaten mal ausversehen meine externe Backup-Festplatte formatiert”. 

“Ich dachte Eure Server sind sicher!”, das mußte ich mir die letzten 3 Tage einige Male anhören. Ja, das dachte ich auch mal, aber wenn Schwachmaten am Ruder sind, kann ich auch nix retten. Aber ich habe die Sicherheit dieses Servers nun mit einem Handgriff verdoppelt: der Partner hostet nun bei 1Blu. Da gehts mich nichts mehr an. Wünsche den Kollegen von 1Blu sehr viel Spass.

Da reisst man sich tagein, tagaus den Hintern auf, um für Sicherheit auf den Servern zu sorgen und solche Nasen scheren sich einen Dreck um die einfachsten Grundregeln. Und solche Leute schimpfen sich dann noch Internet Agentur.

Ich könnte Kotzen, den ganzen Tag.

No responses yet

Trackback URI | Comments RSS

Kommentar dazu? (Geht anonym und ganz ohne Anmeldung)