Heute war ein richtig witziger Tag aus IT-Sicht in der Berufsschule.
Teil: VoIP+Berufsschule
In den ersten 3 Stunden hatten wir Lernfeld 9 Öffentliche Netze und Dienste. Dort machen wir z.Z. Voice over IP (VoIP). Nun hat sich unser Lehrer mal ein praktische Übung ausgedacht.
Wir bildeten Gruppen und jede Gruppe bekam ein SIP-Telefon und einen Laptop zur Konfiguration des selben (Webinterface). So waren also 6 Gruppen am basteln und irgendwann klingelte auch jedes Telefon wenn es angerufen wurde.
Bis dann ein Lehrer in die Klasse kam, den ich noch nie gesehen habe (Gerüchteweise soll er Biologie und Chemie unterrichten – das würde erklären wieso ich ihn auch zu Fachgymnasium-Zeiten nie gesehen habe). Er stand dort 5 Sekunden, schaute in die Klasse und verkündete dann gegenüber unserem Lehrer: “Ihr schießt das Schulnetz ab. Nichts geht mehr.”
In diesem Moment musste ich spontan lachen. Irgendwie war mir schleierhaft, wie man mit 6 VoIP-Telefon und Laptops ein ganzes Netzwerk abschießen kann. (Zumindest wenn dort keine bösen Tools installiert hat.) Besonders wo uns unser Lehrer vorher noch erzählt hatte, das er extra beim Admin IP-Adressenreservierungen im DHCP-Server für die MAC-Adressen der Telefone und Laptops hat anlegen lassen.
Eben damit diese in einem eigenen Netz sind.
Unser Lehrer und der Admin sprachen dann miteinander im Raum nebenan. 3 Minuten später kam er zurück und sagte uns: “Der Admin setzt das Netzwerk jetzt neu auf. Wir bauen dann mal alles ab und machen die Kisten aus.”
Und wieder was über Netzwerke gelernt :-)
Teil: PHP + All-Inkl
Ich habe hier bestimmt schon ab und zu erwähnt, das unserer Lehrer vor Jahren ein Forum für alle Schüler und Auszubildenden der IT-Klassen/-Berufe eingerichtet hat.
Es ist ein Woltlab Burning Board steinalter Version auf Webspace von All-Inkl.
Nun hat dieser Lehrer bei seinem Hoster ein größeres Hostingpaket geordert. Also zieht er auf einen neuen Server, wie das bei Webhostern so üblich ist.
Dies hatte zur Folge, dass das Forum erstmal ein paar Tage down war. Mal wurde die Datenbank nicht gefunden, dann nicht das Verzeichnis auf dem Server, usw.
Aber heute hat All-Inkl den Vogel abgeschossen. Ein Mitschüler wollte in das Forum. Statt eines Fehlers oder der Indexseite sah er den PHP-Code in Klartext.
Also flucks durch die include()-Anweisungen gehangelt und Bingo. In der _data.inc.php stand der MySQL-User und das Passwort.
Gut, das allein bringt einen nicht viel weiter mag derjenige sagen, der sich mit der Materie auskennt.
Tja, nicht so bei All-Inkl. PHPMyAdmin mit .htaccess gesicht? Nee, soweit ist man dort noch nicht. All-Inkl gibt seinen Kunden direkten Zugriff auf den MySQL-Dienst über den TCP-Port 3306 (Standardport).
Ich weiß das, weil ich dort um 2000 herum selber Kunde war. Leider hatte mich damals All-Inkl nicht informiert das deren Server von einer brasilianischen Crackergruppe übernommen wurden. Das war es dann auch schon mit dem Vertrauen und der Kundenbeziehung.
Also holt man sich ein OK vom derzeitigen Lehrer, das man die Klasse verlassen darf um den besagten Lehrer zu benachrichtigen.
Das Kommentar des Lehrers als ihm offenbarte das sein Webspace quasi schutzlos ist: “Die Spaten bekommen auch nichts hin. Seit 4 Tagen werd ich von Server zu Server geschoben und nichts geht.”
Das witzige an der ganzen Sache?
http://tolle-seite.de/phpinfo.php klappte wunderbar. Man bekommt den vertrauten Output von phpinfo() zu sehen.
http://tolle-seite.de/forum/main.php geht hingegen nicht.
Ich habe ja erst drauf getippt, das in der php.ini die Direktive short_open_tag=Off steht. Weil Woltlab seinen PHP-Code mit <? beginnt und nicht mit <?php. (Ist das immer noch so?) Das kann dann etwas katastrophal werden in solchen Situationen.
Aber laut phpinfo() war short_open_tag=On.
Wo der eigentliche Fehler lag versuche ich nochmal herauszufinden. Interessiert mich mal mit welchen Konfigurationsproblemen große Hoster so zu kämpfen haben.
Ich bedanken mich im Namen aller Schüler und Auszubildenden der BBS2 Wolfsburg bei All-Inkl, das unsere privaten Daten (das Forum ist NICHT öffentlich) für jeden frei zugänglich waren.
Mittlerweile geht es ja wieder..
Richtig interessant wird die Sache an folgender Stelle: Dieser Lehrer hat eine in PHP geschriebene, sagen wir mal, “Schülerecke”. Dort findet man den Stunden-/Blockplan, Übungsaufgaben, Links, die Adressliste der Klasse (!!) und die Noten seiner Klassenarbeiten.
So wie ich ihn jetzt kenne und der Name der Datenbank lautete bin ich mir verdammt sicher das, wenn man die DB gedumpt hätte, man diese Daten auch mitgezogen hätte.
- Super.
Mich interessiert jetzt nur noch folgendes:
a) Was war der Konfigurationsfehler?
b) Wird der Lehrer von sich aus sagen, das die Leute mal ihr Passwort ändern sollen?
c) Bei wie vielen Leuten ist Forumpasswort = Mailpasswort (natürlich bei der Mailadresse mit der man sich registriert hat).
Erfahrungswert: Deutlich über 80%
d) Wie viele ändern tatsächlich ihr Passwort?
Erfahrungswert: 10 von 500 Mitgliedern
Tags: berufsschule, voip
Wenn ich mich an meine Berufsschulzeit erinnere und man damals mit doppelter ISDN Leitung durch die Gegend gezogen ist, kann ich mir schon denken, dass ein paar VoiP Sessions das in die Knie zwingen können. Warum darunter allerdings auch das restliche, lokale Netz leidet…. andererseits weiß ich ebenso, dass die Admins an den Schulen… sagen wir mal nicht unbedingt in dieser Funktion in der freien Wirtschaft arbeiten könnten. Also nicht auszuschließen, dass der das Problem einfach nur falsch versteht/wiedergibt.
Bei dem Problem, dass der Code angezeigt wird, wäre meine erste Vermutung, dass der AddType nicht richtig gesetzt ist. Aber andererseits, wenn die phpinfo mit gleicher Dateiendung klappt… seltsam. Das einzige was mir da noch in den Sinn kommt sind Notepad editierte Dateien. Also mit den komischen Zeilenumbrüchen. Damit kann es manchmal Probleme geben. Allerdings ungewöhnlich, grade unter PHP.
Die “Schüler”-Seite ist in der Tat nicht sicher.
Erst war es eine SQL-Injection, mit der man sich als andere Benutzer einloggen konnte, die schloss Hr. W. aber irgendwann. Danach hatte ich mir die Klausuren der vergangenen Jahre heruntergezogen (SQL Inj.) und schließlich ein Script geschrieben, dass mir aus allen vorhandenen Klassen die Namen, Bilder und Emails der Schüler speichert und die Daten VCard zur Verfügung steht… Naja.
Also das mit all-inkl ist ja mal krass. Hast du noch irgendwelche Quellen oder Geanueres zu der Cracker-Gruppe?
und vor allem wie die auf die Server eingedrungen sind? Ich mein selbst wenn ein Kunde unsichere PHP-Scripts installiert hatte, dürfte sich das ja nicht auf die anderen Accounts auswirken.
Nein, sorry. Ich habe keine genaueren Infos.
Weder habe ich mir die Defacement-Seite gespeichert noch irgendwelche Infos. Ich weiß nur noch, das es eine brasilanische Crackergruppe war, weil auf dem Defacement 3-4 Sätze in (so dachte ich erst) Spanisch standen. Als ich mir diese dann von einem spanischen Mitschüler übersetzen lassen wollte, hatte dieser Probleme, weil es Portugiesisch war.
Wie die die Server aufgemacht haben. Hmm.
Also damals hatte All-Inkl alte SuSE-Server eingesetzt. Denke mal daran wird es gelegen haben :) Aber das kann ich nur mutmaßen. Vorallem nach den Jahren.
@khark: thx für die Antwort. Bin zur Zeit all-inkl.com Kunde. Von dem Angriff kann man im Netz inzwischen nichts mehr finden. Ich hoffe, sie haben daraus gelernt!
Nein. Haben Sie nicht.
Hätten Sie das, hätten Sie den Angriff damals Ihren Kunden mitgeteilt.
Ich habe mittlerweile bei einem Webhoster gearbeitet. Da wurde hinter den Kulissen auch nichts dazugelernt wenn die Kunden nicht selbstständig von Seiten der Firma informiert wurden.
Geändert hat sich nur was auf den Servern der Kunden, wenn diese a) Groß genug waren um relevant zu sein und b) Diese es von sich aus gemerkt haben und entsprechend Druck gemacht haben.