Heute war ein richtig witziger Tag aus IT-Sicht in der Berufsschule.
Teil: VoIP+Berufsschule
In den ersten 3 Stunden hatten wir Lernfeld 9 Öffentliche Netze und Dienste. Dort machen wir z.Z. Voice over IP (VoIP). Nun hat sich unser Lehrer mal ein praktische Übung ausgedacht.
Wir bildeten Gruppen und jede Gruppe bekam ein SIP-Telefon und einen Laptop zur Konfiguration des selben (Webinterface). So waren also 6 Gruppen am basteln und irgendwann klingelte auch jedes Telefon wenn es angerufen wurde.
Bis dann ein Lehrer in die Klasse kam, den ich noch nie gesehen habe (Gerüchteweise soll er Biologie und Chemie unterrichten – das würde erklären wieso ich ihn auch zu Fachgymnasium-Zeiten nie gesehen habe). Er stand dort 5 Sekunden, schaute in die Klasse und verkündete dann gegenüber unserem Lehrer: “Ihr schießt das Schulnetz ab. Nichts geht mehr.”
In diesem Moment musste ich spontan lachen. Irgendwie war mir schleierhaft, wie man mit 6 VoIP-Telefon und Laptops ein ganzes Netzwerk abschießen kann. (Zumindest wenn dort keine bösen Tools installiert hat.) Besonders wo uns unser Lehrer vorher noch erzählt hatte, das er extra beim Admin IP-Adressenreservierungen im DHCP-Server für die MAC-Adressen der Telefone und Laptops hat anlegen lassen.
Eben damit diese in einem eigenen Netz sind.
Unser Lehrer und der Admin sprachen dann miteinander im Raum nebenan. 3 Minuten später kam er zurück und sagte uns: “Der Admin setzt das Netzwerk jetzt neu auf. Wir bauen dann mal alles ab und machen die Kisten aus.”
Und wieder was über Netzwerke gelernt :-)
Teil: PHP + All-Inkl
Ich habe hier bestimmt schon ab und zu erwähnt, das unserer Lehrer vor Jahren ein Forum für alle Schüler und Auszubildenden der IT-Klassen/-Berufe eingerichtet hat.
Es ist ein Woltlab Burning Board steinalter Version auf Webspace von All-Inkl.
Nun hat dieser Lehrer bei seinem Hoster ein größeres Hostingpaket geordert. Also zieht er auf einen neuen Server, wie das bei Webhostern so üblich ist.
Dies hatte zur Folge, dass das Forum erstmal ein paar Tage down war. Mal wurde die Datenbank nicht gefunden, dann nicht das Verzeichnis auf dem Server, usw.
Aber heute hat All-Inkl den Vogel abgeschossen. Ein Mitschüler wollte in das Forum. Statt eines Fehlers oder der Indexseite sah er den PHP-Code in Klartext.
Also flucks durch die include()-Anweisungen gehangelt und Bingo. In der _data.inc.php stand der MySQL-User und das Passwort.
Gut, das allein bringt einen nicht viel weiter mag derjenige sagen, der sich mit der Materie auskennt.
Tja, nicht so bei All-Inkl. PHPMyAdmin mit .htaccess gesicht? Nee, soweit ist man dort noch nicht. All-Inkl gibt seinen Kunden direkten Zugriff auf den MySQL-Dienst über den TCP-Port 3306 (Standardport).
Ich weiß das, weil ich dort um 2000 herum selber Kunde war. Leider hatte mich damals All-Inkl nicht informiert das deren Server von einer brasilianischen Crackergruppe übernommen wurden. Das war es dann auch schon mit dem Vertrauen und der Kundenbeziehung.
Also holt man sich ein OK vom derzeitigen Lehrer, das man die Klasse verlassen darf um den besagten Lehrer zu benachrichtigen.
Das Kommentar des Lehrers als ihm offenbarte das sein Webspace quasi schutzlos ist: “Die Spaten bekommen auch nichts hin. Seit 4 Tagen werd ich von Server zu Server geschoben und nichts geht.”
Das witzige an der ganzen Sache?
http://tolle-seite.de/phpinfo.php klappte wunderbar. Man bekommt den vertrauten Output von phpinfo() zu sehen.
http://tolle-seite.de/forum/main.php geht hingegen nicht.
Ich habe ja erst drauf getippt, das in der php.ini die Direktive short_open_tag=Off steht. Weil Woltlab seinen PHP-Code mit <? beginnt und nicht mit <?php. (Ist das immer noch so?) Das kann dann etwas katastrophal werden in solchen Situationen.
Aber laut phpinfo() war short_open_tag=On.
Wo der eigentliche Fehler lag versuche ich nochmal herauszufinden. Interessiert mich mal mit welchen Konfigurationsproblemen große Hoster so zu kämpfen haben.
Ich bedanken mich im Namen aller Schüler und Auszubildenden der BBS2 Wolfsburg bei All-Inkl, das unsere privaten Daten (das Forum ist NICHT öffentlich) für jeden frei zugänglich waren.
Mittlerweile geht es ja wieder..
Richtig interessant wird die Sache an folgender Stelle: Dieser Lehrer hat eine in PHP geschriebene, sagen wir mal, “Schülerecke”. Dort findet man den Stunden-/Blockplan, Übungsaufgaben, Links, die Adressliste der Klasse (!!) und die Noten seiner Klassenarbeiten.
So wie ich ihn jetzt kenne und der Name der Datenbank lautete bin ich mir verdammt sicher das, wenn man die DB gedumpt hätte, man diese Daten auch mitgezogen hätte.
- Super.
Mich interessiert jetzt nur noch folgendes:
a) Was war der Konfigurationsfehler?
b) Wird der Lehrer von sich aus sagen, das die Leute mal ihr Passwort ändern sollen?
c) Bei wie vielen Leuten ist Forumpasswort = Mailpasswort (natürlich bei der Mailadresse mit der man sich registriert hat).
Erfahrungswert: Deutlich über 80%
d) Wie viele ändern tatsächlich ihr Passwort?
Erfahrungswert: 10 von 500 Mitgliedern