Spoony's Bike Blog

Nach zwei Sicherheitsproblemen mit meinem Blog habe ich mir die Zugriffsberechtigungen etwas genauer angeschaut. Bei früheren Updates hatte ich immer wieder Probleme den vollen Funktionsumfang von WordPress nutzen zu können, weil gewisse Ordner nicht über die nötigen Zugriffsrechte verfügten. Die Versuchung ist gross einfach mal alles auf 777 zu setzen, was aber Hacker geradezu einlädt. Wer mit den Zahlen oder dem Begriff CHMOD nichts anfangen kann, der lese hier nach – dort gibt es auch einen CHMOD Rechner.

Eine Recherche im Internet ergibt ein unklares Bild. Es scheint, dass je nach WordPress Version, Plugins und Server-Konfiguration die Werte anders sind. Ziemlich klar ist mir der Zusammenhang zwischen Bequemlichkeit und Sicherheit. Will ich Themes und PlugIns aus WordPress heraus editieren, muss ich natürlich auch entsprechende Rechte setzen. Mehr darüber liest man bei WordPress. Damit ich meine Konfiguration für die Zukunft weiss, schreibe ich es mal auf:

• 755 für Ordner
• 755 für den wp-content Ordner (habe ich belassen, dafür kann ich das Theme nicht mehr aus WordPress heraus editieren)
• 777 für den Bilderordner (da sonst der Bilderupload aus WordPress heraus nicht funktioniert)
• 644 für Dateien

Dann gibt es noch Spezialprobleme. Dank der Lösung von LastManStanding kann man WordPress und die Plugins automatisch updaten ohne alle Rechte auf 777 zu setzen.

1. Schritt: folgende Zeilen in die config.php reinschreiben

putenv('TMPDIR=/der komplette Server Pfad/wp-content/tmp');
define('WP_TEMP_DIR', ABSPATH . 'wp-content/tmp');

2. Schritt im Ordner ‘wp-content’ einen Ordner ‘tmp’ mit den Rechten 777 erstellen, fertig

Wer das Plugin Google XML Sitemaps braucht, muss zwei leere Files mit den Namen “sitemap.xml” und “sitemap.xml.gz” per FTP in den root Ordner des Blogs laden und diese mit den Rechten 777 (Update 25.02.10 -> 666 ist besser) versehen. Danach kann das Plugin die Dateien selber überschreiben.

So, soviel zu den Benutzerrechten. Nun hoffe ich, dass mein Blog wieder mindestens ein Jahr von Attacken verschont bleibt.

Was ich jetzt noch zum Laufen bringen muss, wäre der Flash-Uploader für die Bilder. Leider war bisher alles erfolglos.

Letzte Woche konnte ich plötzlich nicht mehr per FTP auf meinen Blog zugreifen. Nachdem ich im Admin Menü meines Hosters das FTP-Passwort zurücksetzte, ging alles wieder. Trotzdem sandte ich ein Mail an den Support. Dies kreuzte sich mit folgendem (gekürzten) Mail:

Sehr geehrter Kunde

Ihre Webseite wurde in den letzten Tagen Ziel eines Hackangriffs. Weltweit sind unzählige Webseiten von dieser Hackangriffswelle betroffen, unglücklicherweise auch Ihre Kundenwebseite bei Hoststar. Wir haben Ihre Webseite analysiert und können wie folgt Stellung nehmen:

Sicherheitsproblematik

Am häufigsten tritt das Problem bei Webseiten auf, bei welchen das FTP sowie das mySQL Passwort identisch sind. Durch diese Sicherheitslücke kann das mySQL Passwort sowie der Username von Hackern ausgelesen werden. Mit diesen Informationen können dann Daten auf dem FTP Server manipuliert werden.

Ebenso können bei Webapplikationen (veraltete Versionen, unsichere Drittanbieter Module etc.) sowie bei unsauber programmierten Scripts dieselben Sicherheitslücken entstehen. Die grundsätzliche Serversicherheit wird dadurch nicht beeinträchtigt und ist auch nicht betroffen.

Folgende Sicherheitsmassnahmen sind SOFORT durchzuführen:

Wir empfehlen Ihnen, sofern vorhanden, ein Backup Ihrer Webseite, welches älter als der 6. Januar 2009 sein sollte, auf den Server zu laden.

Ändern Sie unbedingt alle Passwörter (Datenbank (mySQL), Joomla, FTP, etc.)!
FTP und mySQL Passwort sollten NIE identisch sein!
Wir haben das FTP Passwort bereits für Sie zurück gesetzt, …

Weitere Vorkehrungen Ihrerseits:

… Definieren Sie möglichst nie die CHMOD Rechte 777 (Vollzugriff), da diese Einstellung ein sehr grosses Sicherheitsrisiko darstellt. Lassen Sie den PHP SafeMode (Erklärung 1) nach Möglichkeit durch uns aktivieren, um zu verhindern, dass Dateien dem User wwwrun zugeordnet werden können.

Erklärung 1 – Safe_mode ON verbietet PHP Dateien zu lesen (und zu schreiben), die einem anderen Benutzer gehören. Auch darf PHP nicht in Ordner schreiben, die nicht dem gleichen Benutzer gehören, wie der, der unter dem PHP (wwwrun) arbeitet. Wenn der PHP Safe Mode deaktiviert wurde, ist dies möglich und erlaubt via Sicherheitslücken schädliche Codes ins Script einzuschleusen! …

Weitere Sicherheitsvorkehrungen:

Hoststar führt ab sofort einen erhöhten Sicherheitscheck auf allen Webseiten ein, um weitere Hackangriffe zu verhindern. Ebenso werden wir diese Angriffe den zuständigen Stellen/Behörden melden, um so die internationale Fahndung zu unterstützen.

Wir hoffen, Ihnen mit diesen Informationen weiterhelfen zu können und stehen Ihnen bei Fragen jederzeit zur Verfügung.

Freundliche Grüsse

Hoststar – Multimedia Networks AG (Switzerland)

Inhaltlich sicher ein Massenmail, aber vielleicht gibt es ja noch mehr Leute da draussen, die bisher das gleiche Passwort für die WordPress Datenbank und den FTP Zugang verwendeten. Nun, ich habe also mal das Passwort für die SQL Datenbank und das FTP Passwort separat geändert. Auf ein Zurückspielen des Backups habe ich verzichtet, dafür alle wichtigen Dateien kurz gecheckt und konnte keine verdächtigen Dinge feststellen, wenigstens nichts Gleiches wie ich bei einer ähnlichen Attacke vor über einem Jahr festgestellt hatte.

Jetzt muss ich nur noch die CHMOD Geschichte endlich mal in den Griff kriegen. Mit den Ordnerberechtigungen kämpfe ich seit dem ersten Tag an dem ich WordPress nutze. Grundsätzlich bin ich froh, dass Hoststar rasch reagierte, auch wenn ich das e-mail einen Tag früher erwartet hätte.

Am Sonntag bin ich ziemlich erschrocken, als mein Virenscanner, Avira Antivir Personal, beim Betrachten meines Blogs eine Malware Meldung mit dem Namen HEUR/HTML.Malware ausgab. Eine erste Google Suche ergab nichts Verwertbares. Es handelt sich um die heuristische Erkennung eines möglicherweise gefährlichen Scripts. Es folgten die üblichen Annäherungsverfahren: 1. Check mit Internet Explorer, 2. Check auf einem anderen Windows, 3. Check des Html Sourcetextes mit Virustotal, einem Onlinescanner. Ergebnis: Das Problem schien nicht lokal zu sein und wenigstens scheint nur AntiVir und ein anderes Antivirusprogramm anzusprechen.

Beim Betrachten des Blog Quelltextes erscheint am Ende jeder Seite ein langes Script – sehr verdächtig. Ich checke per FTP-Programm meine Files beim Hoster und werde bereits bei der Haupt-index.html fündig. Hier scheint jemand ein Script und Werbelinks eingefügt zu haben. Eine weitere Suche zeigt, dass zwei index.html und 3 index.php im Blog und WordPress Verzeichnis infiziert wurden. Glücklicherweise hatte ich noch ein Backup aller Dateien und konnte so die korrekten Files zurückspielen.

SORRY also für alle, die hier in den letzten Tagen eine Viruswarnung erhalten haben! Nun dürfte alles wieder in Ordnung sein. Trotzdem bleibt ein mulmiges Gefühl, da ich nicht weiss, wie meine index.html verändert werden konnte und ich bisher dachte, dass ich die Lese- und Schreibrechte korrekt gesetzt hatte.

Das waren noch Zeiten, als am Velo rote Nummernschilder mit dem jeweiligen Jahrgang hingen, die man später als Reflektoren an Weidepfosten nutzen konnte. Nach 1988 hatte der Spass sein Ende und profane Kleber hielten Einzug. Klebt dieser am Velo ist man bis zu 2’000’000 CHF Haftpflicht versichert, wenn man mit dem Mountainbike Dritten Schaden zufügt. Das Ganze ist ziemlich einzigartig und der Ordnungssinn der lieben Schweiz zeigt sich wieder mal in der detaillierten Verordnung zum Thema.Da stehen dann solche Dinge drin:

Das Geltungsjahr in einer Strichstärke von 0,15 cm und einer Schrifthöhe von 1,4 cm. Eine Guilloche, deren jährlich wechselnde Farbe das Bundesamt für Strassen bestimmt, sichert die Jahreszahl.

Würde mich wirklich interessieren, wie die die Farbe bestimmen. Wird da gewürfelt, mit einem Darts – Pfeil auf eine Farbpalette geworfen, ein Künstler beauftragt, das Orakel befragt, Bundesrat Leuenberger befragt….

Interessant auch, dass ich mit einer Vignette des Kantons Genf rumfahre. Liegt wohl daran, dass wir die Vignetten jeweils in der Migros im Viererpack für 20 CHF kaufen. Deadline um die neue Vignette aufzukleben ist der 31. Mai. Für Mountainbiker ist es immer schwierig ein unauffälliges Plätzchen für den kleinen Kleber zu finden. Bei mir ist dies das Dreieck Sattelstütze – Oberrohr. Eigentlich haben wir es gut, man stelle sich analog den Motorrädern irgendeine Vorrichtung vor, um die metallene Veloplakette hinter dem Sattel zu befestigen. Vielleicht wurden die Moutainbikes erfunden weil es keine Metallplaketten mehr gab, oder umgekehrt?

Mehr gibt es in der Wikipedia.

1. Ride On Open Trails Only.
   Respect trail and road closures (ask if uncertain); avoid trespassing on private land; obtain permits or other authorization as may be required. Federal and state Wilderness areas are closed to cycling. The way you ride will influence trail management decisions and policies.
2. Leave No Trace.
   Be sensitive to the dirt beneath you. Recognize different types of soils and trail construction; practice low-impact cycling. Wet and muddy trails are more vulnerable to damage. When the trailbed is soft, consider other riding options. This also means staying on existing trails and not creating new ones. Don’t cut switchbacks. Be sure to pack out at least as much as you pack in.
3. Control Your Bicycle!
   Inattention for even a second can cause problems. Obey all bicycle speed regulations and recommendations.
4. Always Yield Trail.
   Let your fellow trail users know you’re coming. A friendly greeting or bell is considerate and works well; don’t startle others. Show your respect when passing by slowing to a walking pace or even stopping. Anticipate other trail users around corners or in blind spots. Yielding means slow down, establish communication, be prepared to stop if necessary and pass safely.
5. Never Scare Animals.
   All animals are startled by an unannounced approach, a sudden movement, or a loud noise. This can be dangerous for you, others, and the animals. Give animals extra room and time to adjust to you. When passing horses use special care and follow directions from the horseback riders (ask if uncertain). Running cattle and disturbing wildlife is a serious offense. Leave gates as you found them, or as marked.
6. Plan Ahead.
   Know your equipment, your ability, and the area in which you are riding — and prepare accordingly. Be self-sufficient at all times, keep your equipment in good repair, and carry necessary supplies for changes in weather or other conditions. A well-executed trip is a satisfaction to you and not a burden to others. Always wear a helmet and appropriate safety gear.

Die miese deutsche Übersetzung macht daraus:

1. Fahren Sie nur auf Wegen.
2. Hinterlassen Sie keine Spuren.
3. Halten Sie Ihr Fahrrad unter Kontrolle.
4. Üben Sie Rücksichtnahme.
5. Nehmen Sie Rücksicht auf Flora und Fauna.
6. Planen Sie im voraus.

1. Fahre nur auf Wegen
   Fahre nie querfeldein, du schädigst sonst die Natur! Respektiere lokale Wegesperrungen! Forstwirtschaft, Viehtrieb und Belange des Naturschutzes rechtfertigen dies. Auch in Naherholungsgebieten können lokale Sperrungen berechtigt sein. Die Art und Weise in der du fährst bestimmt das Handeln der Behörden und Verwaltungen. Auf Privatgrund bist du oft nur geduldet!
2. Hinterlasse keine Spuren
   Bremse nicht mit blockierenden Rädern! (Ausnahme in Notsituationen) Blockierbremsungen begünstigen die Bodenerosion und verursachen Wegeschäden. Stelle deine Fahrweise auf den Untergrund und die Wegebeschaffenheit ein. Nicht jeder Weg verträgt jedes Bremsmanöver und jede Fahrweise.
3. Halte dein Mountainbike unter Kontrolle
   Unachtsamkeit, auch nur für wenige Sekunden, kann einen Unfall verursachen. Passe deine Geschwindigkeit der jeweiligen Situation an. In nicht einsehbaren Passagen können jederzeit Fußgänger, Hindernisse oder andere Biker auftauchen. Du musst in Sichtweite anhalten können! Zu deiner eigenen Sicherheit und derer anderer Menschen.
4. Respektiere andere Naturnutzer
   Kündige deine Vorbeifahrt frühzeitig an. Erschrecke keine anderen Wegenutzer! Vermindere deine Geschwindigkeit beim Passieren auf Schrittgeschwindigkeit oder halte an. Bedenke, dass andere Wegenutzer dich zu spät wahrnehmen können. Fahre, wenn möglich, nur in kleinen Gruppen!
5. Nimm Rücksicht auf Tiere
   Weidetiere und alle anderen Tiere in Wald und Flur bedürfen besonderer Rücksichtnahme! Schließe Weidezäune, nachdem du sie passiert hast. Verlasse rechtzeitig zur Dämmerung den Wald, um die Tiere bei ihrer Nahrungsaufnahme nicht zu stören.
6. Plane im Voraus
   Beginne deine Tour möglichst direkt vor deiner Haustüre. Prüfe deine Ausrüstung, schätze deine Fähigkeiten richtig ein und wähle die Gegend, in der du fahren willst, entsprechend aus. Schlechtes Wetter oder eine Panne kann deine Tour deutlich verlängern. Sei auch für unvorhersehbare Situationen gerüstet: denke an Werkzeug, Proviant und Erste-Hilfe-Set. Trage eine Sicherheitsausrüstung! Ein Helm kann schützen, ist aber keine Lebensversicherung.

1. Fahre nur auf bestehenden Wegen
   Fahre nicht querfeldein und bleib auf bestehenden Wegen, um die Natur nicht zu schädigen. Respektiere lokale Wegsperrungen, sie haben meist einen sinnvollen Grund.
2. Sei rücksichtsvoll und gewähre Vortritt
   Kündige deine Vorbeifahrt frühzeitig an um andere Wegbenutzer nicht zu erschrecken. Reduziere deine Geschwindigkeit beim Überholen und Kreuzen, halte nötigenfalls an. Mit einem flotten Gruss erfreust Du die freundlichen und verblüffst die kritischen Weggenossen!
3. Nimm Rücksicht auf Tiere
   Wildtiere in Wald und Flur bedürfen besonderer Rücksichtnahme. Siehst du ein Tier, halte an und warte, bis es sich in Sicherheit bringen konnte. Schliesse Weidezäune, nachdem du sie passiert hast.
4. Hinterlasse keine Spuren
   Bremse möglichst nicht mit blockierenden Rädern, da dies das Auftreten von Erosion begünstigt. Meide Trails nach Regenfällen. Nimm deine Abfälle mit und entsorge diese umweltgerecht.
5. Rechne mit Unvorhergesehenem
   Fahre immer konzentriert und kontrolliert. Passe deine Geschwindigkeit der jeweiligen Situation an. Du musst in Sichtweite anhalten können. In nicht einsehbaren Passagen können jederzeit andere WegbenutzerInnen oder Hindernisse auftauchen.
6. Fahr auf “Nummer Sicher”
   Beginne deine Tour direkt vor deiner Haustüre oder benutze möglichst die öffentlichen Verkehrsmittel zur Anreise. Prüfe deine Ausrüstung, schätze deine Fähigkeiten richtig ein, informiere dich über die Gegend, in der du deine Tour planst. Fahre in abgelegenen Gebieten nie alleine. Sei für unvorhersehbare Situationen gerüstet: Nimm Werkzeug, eine Notfallapotheke und wenn möglich ein Mobiltelefon mit. Trage zu deiner Sicherheit immer einen Helm und Handschuhe.

Die Glocke, Klingel oder ‘ds Lüti’ auf Schweizerdeutsch, hat sicher einen Blogbeitrag verdient. Nachdem ich an diesem supersonnigen Tag keine Tour machte, sondern ein Schwergewicht auf Bike putzen legte, blieb noch Zeit endlich meine neue Veloglocke zu montieren. Was einfach aussieht, kann sich als Problem erweisen. So musste ich zuerst genügend Unterlagsgummi beschaffen und zuschneiden, damit die Klingel am Lenker überhaupt hielt. Hinzu kommt der knappe Platz. Nach etwas austesten kann ich nun die Glocke optimal mit dem rechten Daumen bedienen.

Ursprünglich wollte ich aus ästhetischen Gründen auf eine Klingel an meinem neuen Bike verzichten. Leider erschrecke ich aber weiterhin zuhauf Spaziergänger entlang meiner Trails, obwohl ich jeweils versuche mich bemerkbar zu machen. Irgendwie finde ich eine Glocke doch etwas einfacher, als ständig irgendein Warnruf auszustossen. Zudem ist bei einer Klingel jedem klar was den da kommt, ein Mountainbiker…

Fazit: Ein wichtiges Gerät am Bike, vielleicht nach der Bremse in gewissen Situation das Wichtigste. Wieso also darauf verzichten (und die 35g machen ja den Bergpreis auch nicht aus).