Skip to content

Welche Verzeichnisse gibt es auf dem Webserver?

Posted by Jens Kubieziel on

Viele von euch haben sich vielleicht schon gefragt, ob ein Webserver vielleicht versteckte, nicht verlinkte Verzeichnisse beherbergt. Da es hierfür kaum Programme gibt, haben sich nion und ak hingesetzt und w3bfukk0r geschrieben. Dieses Programm hat eine Liste von gebräuchlichen Verzeichnisnamen und macht für jeden eine Anfrage an den betreffenden Webserver. Die Antwort des Servers wird ausgewertet und alle Funde werden ausgegeben:

jens@qbiathome:~ > ./w3bfukk0r http://www.kubieziel.de
Starting w3bfukk0r 0.1
Scanning http://www.kubieziel.de/ with 81 words from words.txt

Found http://www.kubieziel.de/tmp/ (not public; HTTP 403)
Found http://www.kubieziel.de/blog/ (HTTP 200)
Found http://www.kubieziel.de/img/ (not public; HTTP 403)
Found http://www.kubieziel.de/pics/ (not public; HTTP 403)
Found http://www.kubieziel.de/cgi-bin/ (not public; HTTP 403)

Found 5 directories.
Server runs: Apache/1.3.33 Ben-SSL/1.55 (Debian GNU/Linux) mod_gzip/1.3.26.1a PHP/4.3.10-16

Je nach Qualität der Liste (Wörterbuch) lassen sich so einige versteckte Verzeichnisse finden. So fanden die beiden auch ein schönes Osterei: Fnord.

Kommunikationsdaten für amerikanische Behörden

Posted by Jens Kubieziel on

Schon heute lohnt es sich nicht mehr seine Kontoauszüge auszubewahren. Wenn du Einzelheiten zu deinem Konto wissen willst, dann rufe doch einfach bei den US-Geheimdiensten an. Die dortigen Mitarbeiter haben die Kontobewegungen ausgewertet und wissen sicher Bescheid. Doch der Fortschritt macht auch vor den Vereinigten Staaten nicht halt. Wie ich der Pressemitteilung des Arbeitskreises Vorratsdatenspeicherung entnehme, wissen die Mitarbeiter der US-Behörden auch bald, mit wem du telefoniert oder gemailt hast. Es ist anzunehmen, dass sie nicht nur dir über dieses Wissen freudig Auskunft geben bzw. das auswerten.

Du fragst dich, woher die Daten stammen sollen?

Einer EG-Richtlinie vom März 2006 zufolge soll ab Mitte 2007 zur verbesserten Strafverfolgung nachvollziehbar werden, wer mit wem in den letzten sechs Monaten per Telefon, Handy oder Email in Verbindung gestanden hat. Bei Handy-Telefonaten und SMS soll auch der jeweilige Standort des Benutzers festgehalten werden. Mit Hilfe der gespeicherten Daten können Bewegungsprofile erstellt, geschäftliche Kontakte rekonstruiert und Freundschaftsbeziehungen identifiziert werden.

Natürlich kannst du auch gegen die Bestrebungen der Regierung aktiv werden. Am 2006-10-20 wird es in Bielefled :-) eine Demonstration gegen den Überwachungswahn geben. Geh auch hin und sage dein Meinung!

Scriptkiddie des Monats

Posted by Jens Kubieziel on

Chris Brunner bietet kostenlose Shellaccounts an. Neben den “normalen” Nutzungsprofilen werden immer wieder auch Leute angezogen, die versuchen, sich Rootzugang zu beschaffen oder die ihr Konto nutzen, um in andere Rechner einzubrechen oder deren Arbeit zu stören. Normalerweise verwischen diese Leute ihre Spuren. Marvin Machelesen war da anderer Meinung. Er lud erst mal eine Kopie seines Ausweises hoch, um dann seine Scriptkiddie-Perlskripte zu starten. Chris hat in seinem Posting das Ausweisphoto und weist auch ausdrücklich darauf hin, dass der Ausweis mit hoher Wahrscheinlichkeit auch dem Übeltäter gehört. Dafür hat Marvin wirklich den Titel Scriptkid des Monats verdient.

Die Originalseite scheint momentan überlastet. Mirrors gibt es hier.

Kernelmeldung

Posted by Jens Kubieziel on

Mein Kernel meldete mir vor einiger Zeit, dass er einen Verrat enthüllt hat: kernel: TCP: Treason uncloaked! Peer 213.209.189.74:1638/9030 shrinks window 2766156927:2766159687. Repaired.. Hoffentlich hat er auch den Verräter gefunden und zur Rede gestellt. :-)

Falls jemand eine ernsthafte Antwort sucht: Die Gegenstelle hat die window size reduziert ohne dies meinem Rechner mitzuteilen. Wahrscheinlich ist das ein Versuch eines DoS. In der Regel bekommt der Kernel dies mit und druckt einfach obige Meldung aus.

cronjob