Nachdem Woopra nicht funktioniert mit Wordpress, da JavaScript in Wordpress nicht unterstützt wird in PlugIns, aus Sicherheitsgründen gibt es eine nette Alternative. Man hat zwar keinen Client wie bei Woopra, aber kann genau so alles online einsehen.

Nette Sache ist z.B. Spy. Damit kann man Live sehen, wer von wo kommt, aufwelcher Seite sich der Besucher aufhält und wie lange. Es läuft hier jetzt erst einmal einige Zeit mit um zusehen wie es funktioniert. Dann werden auch einmal ein paar Screenshots folgen.

Clicky Web analystics

Erkennen lassen sich die Spam-Injektionen an unterschiedlichen Merkmalen. Bei einer Ende März gestarteten Injektions-Welle landeten zusätzliche Spam-Seiten in einem neu angelegten Unterverzeichnis wp-content/1. Google gibt inzwischen über 40.000 Treffer für die verräterische Pfad-Angabe an; Ende März waren es noch knapp 4.000.

Eine weitere Welle, von der auch die Blogs von ZDnet.com betroffen gewesen sein sollen, macht sich im Seitenquellcode mit einer langen Link-Liste am Seitenbeginn bemerkbar, die mit der Satzanweisung <font style=’position: absolute;overflow: hidden;height: 0;width: 0′> vor dem Leser versteckt wird. Vereinzelt berichten Blogger auch davon, dass diverse Dateien ihrer geknackten Wordpress-Installationen einen zusätzlichen IFRAME enthalten, der auf eine externe Webseite verweist.

Die unbekannten Angreifer nutzen wahrscheinlich unter Anderem eine XMLRPC-Schwachstelle, die Wordpress 2.3.2 und die Vorgängerversionen betreffen. Vereinzelt berichten Wordpress-Admins, dass sich das Spam-Problem auch nach dem Upgrade auf eine nicht verwundbare, aktuelle Version wie 2.3.3 oder 2.5 fortsetzt, was jedoch auf eine Inkonsistenz beim Update der Wordpress-Datenbank zurückzuführen sei. Nach einem erzwungenen Datenbank-Update sei das Problem aber bei einem Betroffenen verschwunden.

Wer ein selbstinstalliertes Wordpress-Blog betreibt, sollte – sofern nicht bereits geschehen – umgehend auf eine aktuelle Version umsteigen und diese künftig aktuell halten. Ist es schon zu einer Spam-Injektion gekommen, ist ein Backup der Wordpress-Datenbank mit nachfolgender Neuinstallation ratsam. Anschließend sollte man im Admin-Backend noch die Nutzerliste nach Fake-Accounts durchsuchen und diese gegebenenfalls löschen.

Quelle: Heise.de

Heute wurde von Matthias die CA inkl. Clientcerterstellung fertig gemacht und anschliessend konnte ich die Konfiguration der Servers fertig machen. Danach war der erste Client an der Reihe, was wie zu erwarten recht zügig erledigt war. Der zweite Server war schnell mit eingebunden. Nach dem das Routing und Firewall umkonfiguriert waren klappten dann auch von allen Maschinen die Verbindungen zu allen anderen.

Anschliessend meldete Nagios einen meiner Server mit einer hohen Load und Probleme mit einem der Gateways. Irgendwo rannte da der Apache und MySQL Amok. Nach welzen von 1.4 Gig MySQL Log war der Übeltäter schnell gefunden. Es war mal wieder das Joomla von einem Bekannten, der die Seiten der Pfadfinder aus Essen-Schonnebeck auf diesem Server hat.

Nach dem das erledigt war kam dann einmal etwas spassiges zum Tagesprogramm dazu. Tatjana sendet mir einen Link zu einem Chat den ein alter Bekannter programmiert hat. Als ich den Link angeklickt hatte habe ich erst einmal nicht bemerkt was passiert ist. Ich bin nicht so der Chatter, ICQ, IRC usw. ist ja normal, das braucht man da schön täglich. Aber das Chatten im Browser ist schon ein paar Jahre her und man schaut dann jetzt also mal wieder in so einen Chat rein.

Erst nachdem ich ein “Moin” in den Chat geworfen habe und nach ein paar Sekunden danach, bemerke ich was da eigentlich passiert ist. Tatjana schickt mir diesen Link. Die SessionID im Link habe ich bestimmt gesehen, sie war mir aber nicht bewusst geworden. Gerade weil man seit Jahren wissen sollte was bei solchen Sachen schief geht.

Nach dem anklicken des Link kam ein Login mit meinen Zugangsdaten. Ich war schon mal kurz drin um etwas zu testen und die Zugangsdaten kannte mein Browser noch. Also steht mein Name und das Passwort in den beiden Feldern schon drin. Also rein in den Chat und schreibe das “Moin”.

Was ist jetzt aber passiert? Ich schreibe, da die SessionID im Link steht mit dem Nick von Tatjana. Aber auch alles andere ist von Tatjana. Ich habe Ihre komplette Session übernommen und könnte, wenn so etwas bei anderen grossen Portalen wie Ebay (naja, da geht so etwas mit mehr Aufwand auch), Arcor (Hatte genau das hier beschriebene Problem 2005), StudiVZ, Youtube usw. passieren würde, kann man alle Daten des übernommen Profils lesen, verändern und viel schlimmer, man kann mit solchen Daten auch sehr viel mehr Sachen anstellen.

Ich habe mir dann überlegt wie leicht es wohl sein würde an die SessionIDs der anderen zu kommen. Erste Überlegung war ein Bild in den Chat zu posten, das hätte ich erst einmal zusammen bauen müssen. Das Bild würde dann von jedem User bzw. desen Browser geladen und hätte ein paar Zeilen Code inne, die die SessionIDs der einzelnen User auf einem meiner Server speichern. So viel Aufwand wollte ich dann aber nicht betreiben, es sollte ja einfach meine Neugier befriedigt werden, da ich wissen wollte was man in diesem Chat so alles anstellen könnte, wenn man nicht, wie ich, das Interesse hat solche Probleme aufzudecken, sondern die Accountdaten haben will um damit dann zu etwas zubestellen, Passwörter zubekommen, E-Mailadressen usw.

Man kennt das Chat Volk, also mache ich es mir einfach. Ich gehe auf einen Server öffne ein Webserver Logfile und schmeiss einfach eine URL als Link in das Chatfenster. Wie zu erwarten wird auf den Link geklickt und ich erhalte ohne Aufwand alle SessionIDs. Anschliessend ausloggen und Cookie gelöscht ruf ich den Direktlink zum Chatfenster wieder auf und bin wieder drin mit einem der angemeldeten User.

Nachdem ich den Admin informiert hatte, immer mehr den Eindruck bekam er wollte es nicht wissen und es kann ja nicht sein das Tatjana den Link mit Session weiter gibt wurde es mir dann doch etwas zu bunt. Da baut jemand etwas zusammen und macht einen groben Fehler. Jemand macht ihn auf das Problem aufmerksam und will dann helfen damit er das Problem in den Griff bekommt. Und dann so eine Reaktion. Okay er will es nicht wahrhaben, kann ja gar nicht sein meint er. Ich schreibe ihm ich einfach mal in seinen Chat ich habe da eine komplette Anleitung wie der das mit der Session richtig machen muss. Poste den Link und siehe da er klickt. Danach habe ich dann mal seine Session übernommen. Er war dann wohl etwas angepisst, streitet aber immer noch ab, daß es ein Problem gibt.

Dann soll er halt so weiter machen. Sollte der Chat viele User haben wird schon irgend jemand mal daher kommen der genau das Problem erkennt, aber nicht aus Interesse und um Sicherheitspobleme aufzuzeigen, sodern um Mist zubauen. Spätestens dann, wenn großes Chaos ausbricht wird man sich halt selbst in den Hinterntreten.

So ist das, nach Feierabend etwas OpenVPN und Server Konfiguration zum basteln, anschliessend noch Spaß haben mit Sicherheitslücken in einem Chatsystem.

So macht das Leben eines Linuxadmins nach der Arbeit richtig Spaß.

Gestern wurde ja schon Piwik hier vorgestellt. Zwei weitere alternativen zu Google Analystics sind Woopra und W3Counter. Woopra ist eine Java Applikation, daher kommt es für die viele nicht in Frage, die ein “normales” Webpaket bei dem Provider Ihrer Wahl haben, welches nur mit MySQL, PHP und Perl ausgestattet ist. W3Counter läuft komplett auf dem Server des Anbieters. Zwar gibt es eine kostenlose Free anmeldung, diese beinhaltet aber nicht alle Features.

What is Woopra?

Woopra is a robust web-tracking & analysis tool that works perfectly on any website. It is mainly targeted for small to medium websites ranging from few hundreds up to tens of thousands of daily page views.

Essentially, it is targeted for blogs interested in the most minuscule details of every single action. In addition, Woopra provides a precise real-time streaming of every single activity on the website.

Woopra also features a clean interface, including many graphical visualization components, such as charts, maps, panels… Along with many other clean and advanced options that make Woopra an ideal solution for webmasters who desire to discern all the aspects of their website.

Woopra Main Features

• Live Tracking
• Rich Interface
• Visitor Tagging
• Instant Messaging
• Real-time Analytics
• Custom Notifications
• Developer Tools

Die 2. Alternative ist w3counter.

Es gibt zwar eine kostenlose Free Version, aber wer mehr möchte muss einen Account anlegen der kostenpflichtig ist.

W3Counter is about answering important questions.

They’re the questions a site owner needs to ask to learn about and improve how visitors find and interact with your website.

Who your visitors are Where are my visitors located? What languages do my visitors speak? What browsers and platforms are used to view my site? What screen resolution do visitors view my site at? Do my visitors have JavaScript enabled in their browsers?

Where your visitors come from What webpages are linking to mine and how many people click those links? What pages started linking to my site today? What search engines do people use to find my site? What search phrases or keywords are used to find my site? What phrases brought visitors to my site for the first time today?

What your visitors see and use What pages are viewed most often? What pages are linked to or found in search results most often? From which pages to visitors leave my website?

How visitors interact with your site Which links are being clicked on my pages, and which aren’t? How many seconds or minutes do visitors spend browsing my site? How many pages are being viewed during each visit?

What visitors are doing right now Who’s on my site right now? What outside links are visitors clicking on to find my site right now? What searches are visitors performing to find my site right now?

piwik is an open source (GPL license) web analytics software. It gives interesting reports on your website visitors, your popular pages, the search engines keywords they used, the language they speak… and so much more.

piwik aims to be an open source alternative to Google Analytics.

piwik is different from the competition because:

1. the features are built inside plugins: you can add new features and remove the ones you don’t need. If you are a developer, you can easily build your own plugins!
2. you own your data. Piwik being installed on your server, the data is stored in your own database and you can get all the statistics using open APIs (publishing the data in many formats: xml, json, php, csv)
3. (NOW AVAILABLE!!!) the user interface is fully customizable, you can drag and drop the widgets you want to display, create the reports you want

Give it a try

• you can try the online demo that shows you the latest piwik release. Please note that all User Interface part is still in progress so don’t expect something big on this. This is the most visible part though

to install Piwik, download the latest release, upload it on your webserver (you need at least PHP 5.1 and a Mysql database), and open your browser: the installation process is automatic and takes less than 5 minutes

Das werde ich dann mal genauer angucken. Gefunden übrigends hier.

Claros inTouch is an Ajax communication suite with key features such as webmail, address book, post-it notes, calendar (in progress), webdisk (in progress), built-in instant messenger and rss reader. It is the first open source web application which features built in spam protection and instant messaging capabilities together with web 2.0 technologies.

Ajax Webmail
No page refreshes, fast and clean user interface, enhancing your e-mail experience.

Multi-language
It supports many languages out of the box.

Instant Messenger
Chat with your friends from any network while you are composing an e-mail.

Java
It is Java software and utilizes JSP/Servlets with the well known J2EE technologies.

Platform Independent
It is platform independent and can run on any Operating System & Architecture

Bayesian Spam Protection
Built-in spam protection. It can identify junk mail on the fly. No setup needed!

Multi-protocol
Supports both Pop3 and IMAP protocols. Supports both mbox and Maildir formats.

MIME Compatible
Fully MIME compatible whilst both sending and receiving e-mail.

Contacts
A full featured address book is included.

Post-it Notes
Don’t memorize things. Simply place a post-it note. It will stay where you left it.

RSS Reader
Read news from your favorite RSS feed from the same interface.

Free Software
It is free software, as in term “free as a bird”. See gnu.org

Der chCounter ist wesentlich mehr als wie ein normaler Besucherzähler. Mit dem chCounter hat man eine komplette Besucherstatistik mit sehr vielen Parametern. Egal ob der verwendete Browser des Besuchers oder eine Seitenstatistik, Tagesverlauf usw. werden in vielen Einzelheiten ausführlich sofort ausgegeben. Dieser Onlinecounter macht alle Auswertungen in Echtzeit und nicht mit Zeitversatz wie die meist vom Provider angebotene Statistik. Der chCounter benötigt nur PHP und eine MySQL-Datenbank und ist sehr einfach zu installieren. Er kann sichtbar oder unsichtbar in die einzelnen Internetseiten eingebunden werden und ist bei sichtbarer Einbindung in eine Internetseite sehr individuell anpassbar. Dabei stehen insgesamt 20 Counterwerte zur Auswahl.

Der chCounter wurde gefunden beim Dreier, der übrigends das iTheme für Wordpress benutzt, welches ich mir dieses Wochenende einmal genauer angucken werde.

Der_Dennis hat in seinen Links vom 5. März etwas gelistet was man sich mal genauer ansehen sollte. Vielleicht ist für den einen oder anderen etwas dabei.

Quelle: instant-thinking.de