Dies ist das archivierte jawl.


jawl bedeutet „just another Weblog“ und war vom 6.4.2001 bis zum 4.1.2018 das Blog von Christian Fischer. Das Blog wird nicht mehr weiter geschrieben, bleibt aber als Archiv online. ’cause: Don’t change a running URL ;)

Argumente für aktuelle Software

Ich habe – eigentlich erstmal nur zum Spaß – auf der Fehlerseite der Tina Dico-Fanpage ein paar Zeilen Code ergänzt, die mir bei jedem Aufruf der 404er-Seite eine Mail schickt.
In der Mail steht einfach nur, welche Datei aufgerufen wurde.

Das hat mir zum einen ermöglicht, noch ein paar blöde Fehler wie sie immer mal wieder passieren auszumerzen.
Und zum anderen – und das finde ich im Moment fast noch spannender: Ich sehe, was Menschen bzw ihre Scripte so alles versuchen, um auf einen fremden Server zu kommen.
Hier eine kleine, absolut unvollständige Liste, was für Dateien in den letzten Stunden (ja, wirklich) aufgerufen wurden:
/user
/admin.php
/administrator/index.php
/wp-login.php
/shop/piwik.php
/[jeder-beliebige-ordner]/piwik.php
/[jeder-beliebige-ordner]/admin.php
/manage/fckeditor/editor/
/admin/fckeditor/editor/
/fckeditor/editor/
/js/fckeditor/editor/
/include/fckeditor/editor/
/manage/fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp
/admin/fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp
/fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp
/editor/filemanager/browser/default/connectors/asp/connector.asp

Oder, in anderen Worten: Leute, haltet Eure Software aktuell.
Lest die Update- und Security-Feeds und haltet Eure Software aktuell.

2 Antworten zu “Argumente für aktuelle Software”

  1. Luca sagt:

    Neben aktuell halten und am Laufenden sein, wo es so Probleme gibt, hast diverse Standard-Dinge, die du zum Schutz von WordPress-Installationen einsetzt? Einige schwören auf das WordFence-Plugin, andere auf manuelle Maßnahmen wie /wp-admin via .htaccess zu schützen. Keinen User mit dem Namen ‚admin‘ haben, sichere Passwörter (hui).

  2. Christian sagt:

    Fast exakt diese: Keinen User „admin”, /wp-admin/ mit .htaccess geschützt und außerdem noch limit-login-attempts installiert. Ein Passwort, das mir 1Password generiert hat.
    Wer „admin” nachträglich umbenennen will: Bitte hier entlang.

    Oder – wie im obigen Beispiel – gleich ein ganz anderes CMS nutzen, dass sich über die verzweifelte Suche nach den /wp-irgendwas/-Ordnern nur müde eins grinst.

»