Frozen Bytes - Webdesign

Akute Gefährdung durch WordPress Plugin TimThumb

Frozen Bytes — Thu, 04 Aug 2011 13:31:39 +0000

04.08.2011

Durch eine schwere Sicherheitslücke kann im Moment in der aktuellen Version des WordPress – Plugins TimThumb der eigene Server schnell gekapert werden. Wie der Blogger Mark Maunder schreibt ist ihm genau das passiert. Die Angreifer haben auf seinem Blog mit dieser Methode eine Shell installiert und seinen Server übernommen.

TimThumb ist ein beliebtes Script zur Größenänderung von Bildern. Dieses wird in vielen WordPress Themes eingesetzt.

Im aktuellen Verzeichnis (SVN) ist die Lücke geschlossen. Zur Sicherheit sollte man das Script direkt hier herunterladen (direkter Download TimThumb) und austauschen.

Wie ich gerade auf Heise.de gelesen habe, gibt es aber anscheinend weitere gravierende Probleme im Bereich der Sicherheit, so dass man das Script vorsichtshalber im Moment besser nicht einsetzen sollte.

OS Commerce Shops unter Beschuss

Frozen Bytes — Fri, 29 Jul 2011 13:33:50 +0000

Anscheinend ist die aktuelle Version des Open Source Shops OS Commerce von einer gravierenden Sicherheitslücke betroffen.
Im Moment gibt es noch nicht einmal eine Information über welche Lücke Angreifer Schadcode in die Shops einschleusen können. Der Shop wird dadurch zu einer Virenschleuder, da er nach dem Angriff Schadcode an die Benutzer ausliefert.
Nach Angaben von iBusiness wurden bis heute über 300 Shops (deutsche) infiziert. Im englischsprachigen Raum soll es um tausende gehen.
Nähere Informationen finden sich unter folgenden Links:

Ein Youtube-Video zeigt die Infektion der Seite:

Update: Wahrscheinlich finden die Angriffe über die file_manager.php statt. Diese sollte man entfernen und das Adminverzeichnis mit einer htaccess schützen, da ansonsten alle Adminmodule von aussen ansprechbar sind. Quelle: Gerhard Recher

.htaccess – schneller Passwortschutz

Frozen Bytes — Sat, 02 Jul 2011 09:21:24 +0000

Immer mal wieder muss schnell eine Seite für den Zugriff gesperrt werden. In einem anderen Fall soll eine Seite nur für den Kunden sichtbar sein. Bei Content Management Systemen kann man das über die eingebaute Administration lösen. Bei rein statischen Seiten oder Seiten, die nicht sichtbar sein sollen funktioniert das so nicht.

Hier kommt die .htaccess ins Spiel. Im einfachsten Fall hat man Shellzugriff auf den Server und erzeugt eine notwendige Passwortdatei wie folgt:

htpasswd -bc .htpasswd Benutzername passwort
Folgende Zeile erzeugt im aktuellen Verzeichnis eine .htpasswd für den Benutzer tom mit dem Passwort gesichert.
htpasswd -bc .htpasswd tom gesichert

Anschließend muss man nur noche ein .htaccess mit folgendem Inhalt erzeugen. Am besten benutzt man dazu VI oder einen anderen Editor.

Die .htaccess muss dann wie folgt aussehen:

AuthType Basic AuthUserFile /data/webpfad/.htpasswd AuthName "Test_VB" order deny,allow allow from all require valid-user

Wichtig ist an dieser Stelle, dass AuthUserFile den korrekten kompletten Pfad zur htpasswd enthält.
Übrigens der Punkt am Anfang des Dateinamens kennzeichnet versteckte Dateien unter Unixen.

AuthName “Test_VB” gibt dem erscheinenden Fenster einen Namen.
Wenn man alles richtig gemacht hat, dann erscheint ein neues Fenster beim Zugriff auf die Domain.

Alternativ kann man natürlich für das ganze Prozedere auch einen sogenannten htaccess-Generator aus dem Internet nutzen und muss dann die Daten per FTP auf den Server kopieren.

Wer fragen dazu hat, der fragt einfach.

DIG – DNS abfragen

Frozen Bytes — Fri, 01 Jul 2011 19:39:36 +0000

Letzte Woche haben wir mal wieder einen Server umgezogen.

Der Crux an der ganzen Sache ist, dass die Domain über einen DNS – Eintrag auf die neue Domain zeigen muss. Normalerweise ist das nach einer Weile auch der Fall.

Um festzustellen, ob die Domain und wenn ja wohin zeigt gibt es den Befehl DIG unter Unix/Mac.

Dazu ruft man einfach “dig Domainname Option” auf. Ich spare mir das komplette Kommando.
Hier die Konsole.
iMac-Big:~ tom_lokal$ dig swishzone.de


; < <>> DiG 9.6.0-APPLE-P2 < <>> swishzone.de

;; global options: +cmd

;; Got answer:

;; ->>HEADER< <- opcode: QUERY, status: NOERROR, id: 42806

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:

;swishzone.de.			IN	A
;; ANSWER SECTION:

swishzone.de.		86293	IN	A	82.165.37.35
;; Query time: 19 msec

;; SERVER: 213.191.92.84#53(213.191.92.84)

;; WHEN: Fri Jul  1 23:05:38 2011

;; MSG SIZE  rcvd: 46

iMac-Big:~ tom_lokal$
Der DNS zeigt auf 82.165.37.35 und schon passt es. Sollte etwas mit den Mails nicht stimmen, ruft man das ganze mit MX als Option auf und sieht dann wo der Mailserver dazu steht. In diesem Fall bei 1und1.

iMac-Big:~ tom_lokal$ dig swishzone.de MX


; < <>> DiG 9.6.0-APPLE-P2 < <>> swishzone.de MX

;; global options: +cmd

;; Got answer:

;; ->>HEADER< <- opcode: QUERY, status: NOERROR, id: 39781

;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 8
;; QUESTION SECTION:

;swishzone.de.			IN	MX
;; ANSWER SECTION:

swishzone.de.		86400	IN	MX	10 mx00.kundenserver.de.

swishzone.de.		86400	IN	MX	10 mx01.kundenserver.de.
;; ADDITIONAL SECTION:

mx01.kundenserver.de.	6349	IN	A	212.227.15.134

mx01.kundenserver.de.	6349	IN	A	212.227.15.150

mx01.kundenserver.de.	6349	IN	A	212.227.15.186

mx01.kundenserver.de.	6349	IN	A	212.227.15.169

mx00.kundenserver.de.	1890	IN	A	212.227.15.134

mx00.kundenserver.de.	1890	IN	A	212.227.15.169

mx00.kundenserver.de.	1890	IN	A	212.227.15.150

mx00.kundenserver.de.	1890	IN	A	212.227.15.186
;; Query time: 38 msec

;; SERVER: 213.191.92.84#53(213.191.92.84)

;; WHEN: Fri Jul  1 23:06:06 2011

;; MSG SIZE  rcvd: 213

iMac-Big:~ tom_lokal$

Wenn also mal wieder beim Kunden etwas anderes als am eigenen Rechner erscheint, einfach mal schauen, ob der richtige Server dahinter steht.

SV Blau Weiss

Frozen Bytes — Thu, 15 Jul 2010 18:28:57 +0000

Tischtennisverein – Vereinsseite

www.tt-sv-blau-weiss.de

Hosting
Contentmangement
Forum
Design

MisterMaik.de

Frozen Bytes — Thu, 15 Jul 2010 14:27:12 +0000

Fitnessseite

MisterMaik.de

Logodesign
Swismax Gästebuch
Anpassung der Flashanimationen
Inhalte anpassen

Webdesign für KMU und alle anderen

Frozen Bytes — Wed, 14 Jul 2010 15:54:08 +0000

Willkommen bei Frozen Bytes – Ihrem Web – Dienstleister.

» Sie haben noch keinen Webauftritt oder Sie möchten Ihren bestehenden Webauftritt überarbeiten?

Wir sind für Sie da! Professionelle Webauftritte bedeuten eine höhere Aufmerksamkeit durch den Besucher und garantieren seine Wiederkehr.
Wir realisieren für Sie Ihren Webauftritt nach Maß. Dabei erstellen wir Webseiten sowohl als Flash, als auch in klassischem HTML. Wir erstellen speziell für Klein und Mittelständler (KMU) Webseiten. Jede Webseite ist bei uns eine kundenindividuelle Anfertigung. Sie bestimmen durch den Preis den Umfang an Features für Ihren Auftritt nach Maß.

Wir realisieren unsere Webseiten so, dass Sie auch mittels Iphone oder andere Mobilgeräte diese Seiten benutzen können.

Sie möchten unsere professionelle Unterstützung?
Egal ob Anpassungen oder komplexe Entwicklungen – wir sind für Sie da! » Kontakt

Unsere Leistungen:

Beratung inklusive
grafischen Entwürfe
Programmierung in gängigen Scriptsprachen
Realisierung von Datenbankanbindungen
Lösungen
u.v.m.

Einige Beispiele unserer Arbeit finden Sie bei den Projekten:

Link zu den Projekten

Folgekosten

Frozen Bytes — Tue, 13 Jul 2010 08:44:49 +0000

Keine Folgekosten

Bei uns entstehen Ihnen keine Folgekosten.

Wir definieren unsere Leistungen wie z.B. Design oder Installation
Wir führen die Leistung aus und das war’s.
Ihr System kann fast “beliebig” viele Inhalte verkraften. Das ist nur abhängig von Ihrem Server und dem zur Verfügung stehenden Plattenplatz.

Das von uns genutzte System ist Open Source. Sie können jederzeit selbst Veränderungen vornehmen.

Design und Funktionalität

Frozen Bytes — Mon, 12 Jul 2010 05:16:43 +0000

… die Ästhetik eines Designs fesselt und bezaubert den Betrachter. Denn das Streben und das Bedürfnis nach Schönheit ist uns Menschen angeboren.

-1999- Wolfgang Beinert

Design

individuelles Design
Ihre Logos oder Entwurf durch uns
Sie können alle Farben vorgeben
preiswerte Templates – siehe hier

Funktionen

suchmaschinenoptimiert
beliebig viele Bildergalerien
Videos (auf Ihrem Server oder per Youtube)
Kontaktformulare
Einfaches editieren wie in Word
Statistiken (Piwik, Analytics etc.)
und vieles mehr…

Kontakt

Sprechen Sie mit uns, wir helfen Ihnen gern weiter. Kontakt

Sicherheit

Frozen Bytes — Sun, 11 Jul 2010 05:20:52 +0000

Das von uns eingesetzte System ist Open Source. Der gesamte Quelltext liegt offen und das System wird regelmäßig erneuert.

Möchten Sie Ihre Seite bei uns betreiben, so stehen darüber hinaus folgende Komfortmöglichkeiten zur Verfügung.

Sicherheitsfunktionen

Automatische Benachrichtigung
bei neuen Versionen
automatisierte Updates möglich

Frozen Bytes

automatische Sicherheitsupdates
Aktualisierung der Module
Serverseitige Sicherheitstools
optional führen wir System-
upgrades durch