Skip to content

Mein Blog wurde gehackt.

Gerade meldete mir mein Provider, dass mein Blog massiv SPAM über Skripte verschickt. Er meldete Skripte im Ordner htmlarea/plugins/ImageManager/demo_images als verdächtig.

Er hat recht! Dieser Ordner ist neuer, als meine Bloginstallation und neuer als alle anderen Ordner im htmlarea Verzeichnis. Ebenso das Verzeichnis htmlarea/plugins/ExtendedFileManager/demo_images. Dieser Hack ist offenbar genau der Grund, warum die Version 1.5.5 von Serendipity veröffentlicht wurde. Ich war bisher noch zu faul, das Update durchzuführen.

Aber die genannte Seite beschreibt auch, wie man den Hack los wird, ohne gleich die ganze Blog Software erneuern zu müssen. Da htmlarea in den meisten Fällen (so auch bei mir) gar nicht benutzt wird, kann man es sich auch einfach machen und das komplette htmlarea Verzeichnis aus dem Blogverzeichnis entfernen. Dieses habe ich nun getan.

Interessant ist übrigens, wenn man nach den Schlagwörtern htmlarea und demo_images sucht. Die Beschreibung des Hacks kommt erst sehr spät, zuerst werden offenbar erst mal Index Dateien von lauter infizierten Webseiten gelistet, die htmlarea benutzen und auch ein demo_images Verzeichnis haben (das über den Hack offenbar angelegt wird).

Also: Dringend Blog Software updaten, oder wenigstens das htmlarea Verzeichnis (oder die in der verlinkten Beschreibung genannten Dateien) löschen.

Update: Zusätzlich sollte das FTP und das SQL Passwort geändert werden. Beim FTP Passwort bin ich mir nicht sicher, ob das notwendig ist (ich habe es trotzdem getan), aber das SQL Passwort ist wichtig! Da der Hack offenbar eigene Skripte ausführen kann, ist es ihm ein leichtes, das SQL Passwort auszulesen, denn dieses steht im Klartext in der serendipity_config_local.inc.php. Also SQL Passwort ändern und dann (nach Löschen des Hacks natürlich) das neue Passwort in die genannte Datei eintragen. Danach läuft das Blog wieder.

Update 2: Zusätzlich wurden bei mir noch Dateien hinterlegt, die so eine Art "Ich war hier" Seite der Hacker ist.:

  • kocan.html 
  • i256263689_77154_2.gif
  • i256263689_77154_2.serendipityThumb.gif

Sie befinden sich in meinem Hauptverzeichnis sowie in meinem Uploads Verzeichnis (das Verzeichnis für meine Bilder). Ein befallenes Blog sollte auch nach diesen untersucht und von ihnen befreit werden.

 

Mobile Serverwartung per SSH

Wir haben über die Feiertage einen Notfalldienst eingerichtet und so musste ich gestern und heute einen Blick auf unsere Server werfen. Unsere Server melden sich selbstständig per SMS, wenn sie in Probleme geraten, Logdateien anschauen und Server booten usw erledige ich dann normaler Weise über einen SSH Zugang auf die Server. Da ich aber keine Lust hatte, meinen Laptop mit zu den Festlichkeiten zu schleppen, habe ich nach einer Alternative gesucht. Es bietet sich natürlich an, das mit dem Android Handy zu machen, das auch bereits die Notfall SMS empfängt: Es hat eine Tastatur und einen Bildschirm, der groß genug ist, um eine SSH Shell zu bedienen.

Für Android gibt es in der Tat eine sehr leistungsfähige SSH Anwendung: ConnectBot. Diese bietet eine SSH Shell per Passwort oder Private Key, unterstützt Port forwarding und sogar Forward Agents. Letzteres ist für mich ziemlich wichtig, da wir einen zentralen SSH Zugangsserver haben, von dem wir uns dann auf die eigentlichen Server einloggen, die von außen ansonsten nicht zugreifbar sind.

"Mobile Serverwartung per SSH" vollständig lesen

Ubuntu rebootet wegen Überhitzung

Ich erwähnte es gerade erst: Seit meinem Update auf Ubuntu 10.10 habe ich das Problem, dass mein Rechner sich ab und an einfach herunter fährt. Meine erste Idee, die Grafiktreiber zu erneuern, brachte keinen Erfolg.

Nach einem Reboot konnte ich noch eben einen Hinweis auf einen "THERMAL_EMERGENCY" erblicken. Der Rechner war also offenbar zu heiß geworden und hatte sich deshalb herunter gefahren. Dieses Problem hatte ich mit der vorherigen Hardy Installation nicht, somit macht meine aktuelle Distribution offenbar etwas falsch. Ein wenig Suche ergab, dass Ubuntu offenbar die Temperatur Sensoren nicht immer korrekt ausliest, Überhitzung vermutet und deshalb den Rechner herunter fährt.

Eine mögliche (und einfache) Lösung ist, dem Kernel die Temperatur Überwachung zu verbieten. Aber Achtung! Dies sollte man natürlich nur tun, wenn man sicher ist, dass die Hardware das selbst erledigen kann, sonst läuft man Gefahr, dass der Rechner ungeregelt den Hitzetod stirbt.

"Ubuntu rebootet wegen Überhitzung" vollständig lesen
tweetbackcheck