+ .html, .php3, .php4, .shtml ...

Die hat man schon auch lokal, z.B. zum entwickeln...

Hmm .. wie is denn mit den "Nachfolge" Modellen ... sind die immer noch so lieb? Hats schon wen erwischt, der dazu was sagen kann?

<- ist bin jetzt Verschohnt geblieben ... hatte den Patch aber schon länger drin. Trotzdem konnt ich noch kein vermehrtes Auftreten solcher Anfragen aufzeichnen ....

ich muss mich da leider anschließen, wer sicherheitslücken auf seinen systemen hat, hat ein problem. natürlich ist das nicht nett, die auszunutzen, aber man sollte sich in erster linie an die eigene nase fassen.
wenn man im unternehmen sitzt, ist das kein argument dagegen, ein vernünftiges verhältnis zwischen workflow und sicherheit einzuhalten. wenn eine anwendung nur auf ie5.5 läuft, sollte man mit dem anbieter sprechen und sich nach alternativen umsehen. wenn mein provider das rechenzentrum nicht abschließt und server geklaut werden, dann rufe ich doch auch nicht nach dem polizeistaat, sondern wechsel den anbieter ... und meistens gibt es eine alternative, auch in spezielleren bereichen.

Sorry Jan, auch wenn ich sonst oft deine Meinung nachvollziehen kann, aber da liegst du falsch. Mag sein das ihr alle für Firmen arbeitet wo das anders läuft. Bei uns legt der Auftraggeber fest mit welcher Projektplattform wir zu arbeiten haben, die interessiert es einen Dreck ob uns das sicherheitstechnisch passt oder nicht. Die geben ihren Auftrag auch gerne einem anderen Kunden.

Ansonsten gilt, es gibt keinen Sicherheitsverantwortlichen für Unternehmens-IT, nur den lokalen Admin oder die zentrale IT-Leitung. Sollen die doch sehen wie sie die Probleme in den Griff kriegen - die gammeln ja sonst nur rum. Ein IT-Budget für Sicherheit? Eskalationsrichtlinen? Beim letzten größeren Vireneinfall mit netten kleinen Bots habe ich den Router abgeschaltet - und prompt hat sich einer aus dem Vorstand beschwert er müße noch eine große Powerpoint-Präsentation in eine andere Niederlassung übertragen - da werden klare Prioritäten gesetzt.

Wenn man eine überschaubare Anzahl an Boxen hat, möglichst homogen, wo man genau weiß was wo, wie und mit welchen Rechten läuft und darüberhinaus die passenden Mittel und Entscheidungsfreiheit in Sicherheitsfragen hat - dann sieht es anders aus.

Ansonsten kotzt mich die Einstellung die hier gezeigt wird an, das erinnert mich an Sprüche wie: "Was geht die auch im dunkeln, so angezogen durch den Park..." - das ist unterste Schublade. Wer nicht in der Lage ist sich zu verteidigen hat es auch nicht anders verdient, oder was?

@BungeeBug: Bis jetzt sind mir keine übermäßig bösartigen "Nachfolgemodelle" bekannt geworden. Die meisten Nachfolger fragen nun nicht mehr Google sondern Yahoo etc ab. Bis jetzt haben die Nachfolger auch immer auf die gleiche Sicherheitslücke gezielt!

@Ronnie: Teils stimme ich Dir zu, teils anderen. Sicherlich ist es schwierig, in einem großen Unternehmen, in dem ein heterogenes Netz besteht, immer alle Patches etc. aufzuspielen. Und die Prioritäten können manchem Admin das Leben richtig schwer machen. Aber einige Admins schaffen es nicht auf "Bedrohungen" innerhalb von Monaten zu reagieren.
Man muss auch bei Patches priorisieren. Bei vielen Unternehmen sind manche Exploits nicht so akut, weil die Sicherheitslücken bei ihnen nur schwer anzugreifen sind. Oder die Anwendung läuft nur auf internen Testservern.

@renee ich hab heute mal nen bisschen drauf geachtet und meine gelesen zuhaben, dass es doch wirklich böse Varienten gibt. Es fängt wohl an bei IRCBots und geht bis zu Backdoors.

Ich habe mich gerade erkundigt... Es gibt nur eine weitere Variante dieses Santy-Wurmes (http://www.k-otik.com/exploits/20041225.SantyB.php ). Das ist der mit den IRC-Bots. Der Wurm benutzt allerdings nicht (nur) die üblichen IRC-Ports. Also sollte man bei auffälliger Last des Servers mal schauen, ob "komische" Programme Ports geöffnet haben.

Alle anderen "Varianten" wurden in PhpInclude.Worm umbenannt, sind aber auch in Perl geschrieben (http://www.k-otik.com/exploits/20041225.PhpIncludeWorm.php ). Diese haben andere Ziele!

Ronnie: nein, unabhängig davon, dass es mies ist, sicherheitslücken auszunutzen und dadurch schaden anzurichten, ist die frage, wie man sich verhält, immer entscheidend. wenn ich nachts um halb zwei im ghetto von new york an einen geldautomaten gehe und die entnommenen hunderter zähle, wohlmöglich noch laut, dann könnte man mir schon grobe fahrlässigkeit vorwerfen. dass du schwierigkeiten hast, weil deine vorgesetzten die problematik nicht sehen, ist nachvollziehbar, aber in erster linie dann das problem deiner vorgesetzten. derjenige, der entscheidet, wie etwas gemacht wird, muss über die möglichen konsequenzen informiert sein und wenn er dann trotzdem sagt "ja, ist schon ok, dass wir höchstwahrscheinlich bald einen fetten trojaner im hauptserver haben werden, ich will, dass das ding ungesichert ans netz geht" dann ist das seine entscheidung und er muss die konsequenzen tragen. und mal ehrlich - wer die sicherheit der unternehmensdaten nicht in die rechnung aufnimmt, dem fehlt ganz einfach wirtschaftliche befähigung, wenn ich das mal so harsch sagen darf. das ist so, als ließe ein juwelier seinen laden unbewacht und ungesichert zurück. natürlich ist der diebstahl weiterhin strafbar aber dennoch würde jede versicherung ihm recht schnell zu verstehen geben, dass sie ihm leider keinerlei schaden ersetzen können, da er grob fahrlässig gehandelt hat und damit gegen die vertragsbestimmungen verstieß. ein system nicht so gut abzusichern, wie man kann, ist fahrlässig. bei manchen unternehmen entsteht das unbewußt, bei anderen ganz bewußt (oder klärt ihr die entscheidungsträger nicht über die risiken auf?) und da kann ich dann das anschließende geheule nicht nachvollziehen. schmerzlich ist es immer, aber schmerzlich ist auch ein knochenbruch. wenn ich aber vorher aus dem zweiten stock gesprungen bin, weil ich mal sehen wollte, wie sich das anfühlt, dann ist die heulerei fehl am platz. natürlich kann ich nachvollziehen, dass du genervt bist davon, aber das ist weniger ein problem "da draußen" als vielmehr ein problem "da drinnen", im unternehmen. da gehört dein frust hin - und vielleicht hilft es, wenn du mal mit dem hausjustitiar sprichst und ihn mal fragst, wie es denn sei, wenn ihr daten grob fahrlässig zugänglich macht, die geschützt werden müssen - und vielleicht lässt sich damit an den entscheidenden stellen ein umdenken erreichen. mit lautem geschrei, wie ungerecht die welt ist, erreicht man wenig. eine hinrichtung des einbrechers, der deine stereoanlage gestohlen hat, weil du kein schloss in deiner tür hast, ist nicht die erste wahl - viel einfacher ist es doch, ein schloss einzubauen, wenn du etwas schützen willst.

safe sex may not be as much fun, but it's safe. same goes for IT.

edit: mehrere typos mussten gehen ;)\n\n

<!--EDIT|jan|1104194823-->

@Ronnie: ich gebe dir Recht; ein SysAdmin sollte nicht derjenige sein, der sich über die Sicherheit im System Gedanken machen muss; da muss wirklich jemand ein SecureAdmin her; also eine zweite Person.

"und prompt hat sich einer aus dem Vorstand beschwert er müße noch eine große Powerpoint-Präsentation in eine andere Niederlassung übertragen - da werden klare Prioritäten gesetzt."
Klar, der Vorstand beschwert sich immer; aber wenn es gerade nicht geht, dann geht es nicht. Man muss nur seinen Standpunkt festmachen und die Sache begründen können; damit kommt man dann zum Erfolg. Und darf dir auch niemand den Kopf dafür abreisen.

also ich bin der meinung:
besser, wenn seiten auf diese art und von solchen leuten gehackt werden, als
unbemerkt von terroristen beispielsweise.
ich weiß auch, dass einem oft die zeit fehlt, alles sicher zu machen und
es schwer ist, sich gegenüber vorgesetzten durchzusetzen, die lieber
neue coole features haben wollen als ein sauberes, sicheres system,
aber dann muss man halt versuchen, sein wissen auszunutzen und
den vorgesetzten klarmachen, dass die seite ein offenes scheunentor ist.
mit den richtigen argumenten kann man leute überzeugen, besonders solche,
die sich in der materie eben nicht so auskennen und sich auf das wissen
der mitarbeiter verlassen müssen.