Folge XXX: World Wide Wacken (cr030)

Full-Metal-Cruise_Wacken-Skull_edit

Bild von Jakob auf flickr.com (cc by-sa 2.0)

Es ist schon ein bißchen her, dass die Herren crK und crM ihre Kadaver auf ein Festival geschleppt haben. Dennoch geht uns das Thema nicht am Allerwertesten vorbei, wir beäugen jedes Jahr auf’s Neue die anstehende Festivalsaison. Bei der Verbindung von Metal und Festivals dürfte eine der ersten Assoziationen natürlich das Wacken Open Air sein. Und da wir erstens bereits selbst einige Male auf Wacken waren, zweitens im nächsten Jahr wieder auf Wacken sein werden und drittens immer mal wieder über Wacken reden (z.B. über dessen Ausbau und Kommerzialisierung) haben wir gedacht, dass wir doch mal ausführlich darüber „On Air“ sprechen könnten. Dazu haben wir uns Jakob als Verstärkung geholt, der bisher jedes Wacken mitgenommen hat und außerdem auch an Bord der Full Metal Cruise war. Wir waren alle etwas angeschlagen, wünschen aber trotzdem viel Spaß! \m/

Der Podcast:

 
Downloads: MP3-Version (91MB), MP4-Version (94MB)

Die Links zur Folge:

Hier noch Jakob’s Videotagebuch zur Full Metal Cruise:


Folge XIX: Mediale Vermättlung (cr019)

Das Metal Malbuch (© by Christopher Tauber / Mashup by crM)

Wir können nicht verhehlen, dass im Zentrum unserer musikalischen Aufmerksamkeit die harte, handgemachte Stromgitarrenmusik steht. Es gibt aber durchaus Menschen, die sich mit Metal beschäftigen, obwohl er nicht im Zentrum ihrer Aufmerksamkeit besteht. So zum Beispiel beim heutigen Gast Christopher „Piwi“ Tauber, der neben Comics auch das Metal Malbuch geschaffen hat. Wir nehmen das Thema zum Anlass, um uns ein wenig umzuschauen welche Aufmerksamkeit und welchen Stellenwert der Metal in der multimedialen Vermittlung hat. Unser Fazit: Metal ist noch immer Nische, wird es vielleicht auch bleiben, aber die Größe der Nische ist nicht zu unterschätzen! Und: wir brauchen mehr METÄL! Viel Spaß beim Hören! \m/

Der Podcast:

 
Download MP3-Version (109MB)

Hier die Themen im Einzelnen:

collaborativerockers.de „infiltriert“

Rockers!

Was ein Tag für jemanden wie mich, der zwar ein wenig Ahnung von der Materie „Sicherheit im Internet“ hat und sich seit einigen Jahren auf einer eher abstrakten Ebene der IT-Sicherheit bewegt, aber dann doch schnell an seine Grenzen kommt, wenn es um Code-relevante Sachen geht. Ich will versuchen, auch ohne tiefergehende IT-Kenntnisse, zu beschreiben, was heute vorgefallen ist und wie wir mittlerweile reagieren konnten.

Heute fiel einem Hörer (danke André für die schnelle Reaktion!) auf, dass der bei Facebook via der RSS Graffiti App gepostete Link auf diesen Beitrag gar nicht auf den Beitrag führte, sondern auf eine merkwürdige russische Domain (.ru) mit Malware-Inhalt umgeleitet wurde. Diesen Fehler konnten diverse Leute mit verschiedenen Browsern reproduzieren (vor allem Firefox und Safari diverser Versionen waren davon betroffen). Nach diversen Stunden der Suche und des Diskutierens (Achtung, der Link geht auf mein Facebook-Profil) konnten wir (vor allem die anderen) den Fehler auf das Folgende herunterbrechen (Stand heute Abend am 15.02. // und Achtung, dies ist eine Laienbeschreibung von mir):

Anscheinend ist die Website collaborativerockers.de einem Hacking-Skript der Art C99-Shell (nagelt mich nicht auf einzelne Begrifflichkeiten fest) „zum Opfer gefallen“. Dabei wurde anscheinend durch eine Sicherheitslücke im Mobile Detector Plugin für WordPress ein mit schadhaftem PHP-Code manipuliertes GIF auf den Server geladen (timthumb Avatar-Funktion von Mobile Detector?), was wiederum Vollzugriff auf alle Dateien unter collaborativerockers.de erlaubte – hier findet man den extrahierten Quellcode des schadhaften GIF’s. Durch das dadurch ermöglichte Hochladen einer mit Schadcode manipulierten PHP-Datei auf den Server in das Standard-Upload-Verzeichnis wp-content/uploads/ (das viele selbstgehostete WordPress-Installationen nutzen), erlaubte die Shell-Datei den Vollzugriff (geänderte Rechte) und die Manipulation der .htaccess. Diese modifizierte .htaccess-Datei beinhaltete eine Auflistung von Referern, von denen der User auf einen Link zu collaborativerockers.de klickte, aber auf die russische Domain umgeleitet wurde. Unter diesen Referern waren u.a. Facebook, Google, Bing, Ask etc. gelistet und wer z.B. bei Facebook auf den Link geklickt hat, wurde instantan nach .ru umgeleitet. Zudem wurde diese Umleitung als permanent in ein Cookie geschrieben (301 redirect), sodass alle folgenden Zugriffe direkt auf der russischen Domain landete, solange die schadhaften Dateien auf dem Server und die Cookies beim Besucher lagen und diese gecleared wurden.

UNSERE REAKTION

Wir haben mittlerweile die schadhaften PHP-Dateien entfernt, die .htaccess wieder von den Eingriffen bereinigt, das Plugin Mobile Detector entfernt, alle Passwörter geändert und die WordPress-Installation auf die aktuelle Version 3.3.1 aktualisiert und für’s erste ein Standardtheme eingestellt. Bis auf weiteres werden wir dabei bleiben und uns dann sukzessive um die Umsetzung eines neuen (und ohnehin schon lang geplanten) Designs kümmern!

HINWEIS FÜR EUCH BESUCHER

Wir würden Euch empfehlen die für die collaborativerockers.de angelegten Cookies zu löschen, damit die darin festgeschriebenen Redirects entfernt werden. Dann sollte die Seite wieder funktionieren. Wie wir leider feststellen mussten, beinhaltete die russische Domain auf die der Redirect zeigte wohl Malware (Trojaner), der sich eventuell im Hintergrund auf dem System installieren konnte. Hier ist unser Wissen noch sehr begrenzt, daher lässt sich zum jetzigen Zeitpunkt schlecht sagen, was diese Schadsoftware genau tut. Eventuell beeinträchtigt sie aber das installierte Antivirenprogramm (eventuell erkennbar durch einen Prozess av1), das können wir aber noch nicht in Gänze beurteilen und melden uns, sobald wir etwas Genaueres wissen. Es schadet jedoch sicher nicht – wenn man auf der russischen Domain gelandet ist – auch einmal ein frisches Antivirenprogramm über das eigene System laufen zu lassen!

REICHWEITE UND ERKENNUNG

Aus unserer, nach dem derzeitigen Stand, vorsichtigen Einschätzung könnte der heute aufgetretene Exploit kein Einzelfall sein und selbstgehostete WordPress-Installation (evtl. ältere Versionen der Software), die mit dem Mobile Detector Plugin arbeiten, betreffen. Es gibt wohl auch ein CVE in diese Richtung. Wenn Euch etwas verdächtig vorkommt, dann schaut einmal nach diesen Anzeichen:

  • unnatürlich große .htaccess (in meinem Fall war sie ca. 2700Byte groß anstelle von 260Byte)
  • PHP-Dateien im Upload-Ordner wp-content/uploads/

Es tut uns sehr leid, dass dieser Fehler bei uns aufgetreten ist, eine ernstgemeinte Entschuldigung geht vor allem an alle Besucher dieses Blogs, die eventuell durch diesen Fehler beeinträchtigt wurden! Wir arbeiten daran noch mehr Erkenntnis zu gewinnen, diese anständig zu dokumentieren und dann hier zur Verfügung zu stellen sowie die entsprechenden Personen/Programmierer zu informieren.

Ein herzliches Danke von uns geht an André, MarkusPeter (Bootschaft) und Andi (meinem Hoster) sowie alle stillen Helfer im Hintergrund, ohne die wir heute wirklich aufgeschmissen gewesen wären!

Wenn Euch noch etwas auffällt, wir etwas übersehen haben, sich weiterhin komische Fehler abbilden, oder irgendein wie auch immer geartetes Problem auftritt, zögert bitte nicht uns zu hier in dem Kommentaren, via Twitter oder via Mail kontakt [ät] collaborativerockers [punkt] de zu kontaktieren!

Cheers, Eurer crM

Update (16.02.2012, 15:15 Uhr): Unser Admin des Vertrauens hat mittlerweile einen eigenen Blogpost geschrieben und das Geschehen aus seiner Sicht, und sicher technisch versierter als ich, beschrieben.