OpenSUSE 13.1 und Apache 2.4

Der Apache2 Version 2.4 bringt erhebliche Änderungen gegenüber der Version 2.2 mit. Den Versuch eines Updates des Apache2 auf die Version 2.4 auf einem openSUSE 12.2 System habe ich wegen zahlreicher Fehlermeldungen abgebrochen. Aus schlechten Erfahrung klug geworden, habe ich mir eine neues System von Grund auf mit openSUSE 13.1 in einer virtuellen Maschine aufgesetzt. Einen weiteren Abschuss des Servers wollte ich vor einen Upgrade nicht riskieren.

Die Konfiguration des Apache2 mit yast2 führt allerdings auch nicht zu einem lauffähigen System. Der Apache weigert sich mit mehreren Fehlermeldungen zu starten. Unter openSUSE 13.1 wird der Apache 2.4 installiert, obwohl in den Paketnamen die Version 2.2 angegeben ist. Nach einigen Versuchen konnte ich den Fehler in der Datei /etc/apache2/conf.d/mod_evasive.conf lokalisieren. Der Apache2 meldet, dass es das Modul /usr/lib24/apache2/mod_evasive20.so nicht gibt. Eine nachträgliche Installation / Update hilft nicht, denn die Datei heißt jetzt mod_evasive24.so.

Der Fehler kann nun durch Ändern der ersten Zeile in mod_evasive.conf behoben werden. Entweder wird auf das Module verzichtet und die Zeile auskommentiert / gelöscht oder der Dateinamen geändert. Eine Änderung des Modulnamen auf mod_evasive24.c führt allerdings wieder zu Fehlern.

LoadModule evasive20_module /usr/lib64/apache2/mod_evasive24.so

 
Mit einigen Hinweisen auf wirkungslose, obsolete Parameter startet der Apache2 jetzt.

Google-Frage: Kann man beweisen, dass man Pornos herunterlädt?

Network
Network

Diese Frage an Google führte die Tage jemanden zu diesen Seiten. Ob die Frage zufriedenstellen beantwortet wurde, weiß ich nicht. Vielleicht traf der Sucher auf den Artikel Wie kann man ein Portal überwachen? In diesem Fall könnte die Frage ausreichend beantwortet sein. Wenn nicht, folgt hier eine etwas allgemeinere und umfassendere Antwort.

Auch wenn die Frage aus der Redtube-Abmahnwelle motiviert sein dürfte, will ich darauf nicht oder nur als Randnotiz eingehen.

„Google-Frage: Kann man beweisen, dass man Pornos herunterlädt?“ weiterlesen

Umleitung von RetDube nach RedTube

Wie die RetDube Falle funktioniert haben könnte.
Wie die RetDube Falle funktioniert haben könnte.

Über Feiertage ist es mit Nachrichten zu den Massenabmahnungen der Kanzlei Urmann und Collegen ruhiger geworden. Wenig Neues – viel Spekulation über Altes. Nachdem viel über den Kauf von Klicks bei Trafficholder und die Software GLADII 1.1.3 spekuliert wurde, sowie die Frage, ob auf retdube.net eine Seite gefälscht oder auf die Originalseite zugegriffen wurde, kontrovers diskutiert wurde, habe ich mich gefragt, wie aufwändig die Variante mit der einfachen Umleitung wäre und sie teilweise nachgebaut.

(Ich hatte schon geschrieben, dass Miriams Adventures auf mehreren DVD gepresst wurde. Dazu habe ich noch einen kleinen Bonmot am Schuss.)

„Umleitung von RetDube nach RedTube“ weiterlesen

Wie kann man ein Portal überwachen?

Ansicht der RedTube Seite mit aktiven NoScript Plugin
Ansicht der RedTube Seite mit aktiven NoScript Plugin

Im Falle der jetzigen Abmahnwelle und der angekündigten weiteren Abmahnungen stellt sich die Frage, wie kann der Abmahnende im Falle des Download oder Streaming eines Videos von einem Web-Server an die IP-Adressen der Nutzer, die sich die Videos ansehen, gelangen, wenn der Betreiber des Portals diese nicht bereitstellt. (Dazu, dass es keinen grundsätzlichen Unterschied zwischen Streaming und Download gibt, komme ich später.)

Gegenüber RA Christian Solmecke deutete RA Thomas Urmann an, dass Redtube nicht die einzige Plattform ist, die überwacht werden kann.[1]

Die Formulierung, dass die Portale „überwacht“ werden können, finde ich sehr interessant. Dies würde bedeuten, dass jemand alle oder zumindest sehr viele Zugriffe (zum Beispiel alle Zugriffe aus Deutschland) auf das Portal beobachtet und prüft.

An einem Video-Download oder -Streaming von einem Web-Server zu einem Web-Client sind nur diese beiden und die Router oder Proxy-Server auf dem Weg zwischen den beiden Rechnern beteiligt. Für eine Überwachung müsste sich der Überwacher, als Dritter im Bunde, in diese Verbindung einhängen. Dies geht nur an wenigen Stellen.

Eine derartige Überwachung könnte an folgenden Orten stattfinden:

  1. Auf den Servern von RedTube
  2. Auf einem Router zwischen Nutzer und den RedTube Servern
  3. Auf einem Proxy-Server zwischen Nutzer und den RedTube Servern
  4. Auf dem Rechner des Nutzers
  5. Im Video durch eingebetteten Code
  6. In der RedTube Seite durch eingebettete Objekte (Werbung)
  7. Durch umgeleitete Zugriffe / Routen

Jede dieser Möglichkeiten wollen wir nun untersuchen.

„Wie kann man ein Portal überwachen?“ weiterlesen

  1. [1] Quelle: wbs-law.de

Urheberrechtsverstoß mit unsichtbaren iframe tranen

Vergangene Woche schlug die Abmahnwelle der The Archive AG hohe Wellen und füllte die Lücke bis zur Abstimmung der SPD über die GroKo. Aufgrund der geschätzten 10.000 bis 20.000 Abmahnungen berichtete nicht nur die IT-Fachpresse über die Einzelheiten der Abmahnung. Schnell wurden Berichte der Nutzer über auffälligen Einträge in ihren Log-Dateien und eines auffälligen, sprunghaften Anstiegs der Zugriffszahlen auf die Videos just mit dem Beginn der Überwachung bekannt. Daher ist der Verdacht nicht unbegründet, dass jemand die Nutzer über gekaufte Zugriffe gezielt von anderen Seiten auf diese Videos gelenkt hat.

Die Herkunft der IP-Adressen ist immer noch nicht bekannt. Außer einer Zusammenfassung der Pressestelle den LG Köln, die mehr Fragen offen lässt als sie beantwortet, habe ich noch nichts Konkretes über das Gutachten über die Software GLADII 1.1.3 gefunden.

Inzwischen prüft die Staatsanwaltschaft Köln, ob sie ein Ermittlungsverfahren wegen der vor dem Landgericht Köln abgegebenen eidesstattlichen Versicherungen gegen unbekannt einleitet. [1] Hier frage ich mich: Wieso hat das Landgericht die eidesstattlichen Versicherungen eines, einer oder mehrerer Unbekannter verwendet?

Mir kam heute folgende Frage: Wenn jemand die Nutzer arglistig auf die Seiten bei RedTube lenkt, kann er verhindern, dass der Nutzer bemerkt, dass er ein Video abspielt?

Oder:

Haben die Nutzer die Filme wirklich angesehen?

„Urheberrechtsverstoß mit unsichtbaren iframe tranen“ weiterlesen

  1. [1]Quelle: itespresso.de / Peter Marwan: (Update) Streaming-Abmahnungen: Staatsanwaltschaft Köln prüft Ermittlungsverfahren (17. Dezember 2013)

Angriffe auf den SSH-Port

Vor einigen Wochen hatte ich letztmalig über Angriffe auf den SSH-Port geschrieben. Die meisten Angriffe erfolgte aus dem Netz der STRATO AG. In den folgenden Tagen habe ich STRATO jeden Tag eine Mail mit den IP-Adressen der Angreifer an abuse-server ( at ) strato.de geschickt. Lange Zeit hat sich nichts getan.

„Angriffe auf den SSH-Port“ weiterlesen

Angriffe auf den SSH-Port

Die ständigen Angriffe auf den Port 22 (SSH) laufen zwar alle ins Leere, aber ein Auge halte ich trotzdem drauf. Eine Auswertung des gestrigen Tages ergab, dass fast alle Angriffe (~90%) aus dem Netz von Strato kommen, wo mein Server auch gehosted ist. Hier die IP Adressen der Kameraden, die ihren Server dringend reinigen sollten.

  • 85.214.16.192
  • 85.214.16.253
  • 85.214.205.100
  • 85.214.238.63
  • 85.214.25.183
  • 85.214.253.120

Warum in die Ferne schweifen, wenn das Gute liegt so nah. Jetzt bin ich mal gespannt, ob mir Strato irgendwann auf die Meldungen antwortet.

Netter Versuch

… aber ich sichere meinen Server nicht im document root.

Heute fiel mir ein seltsamer Besucher auf, der nach Dateien byggvir.de.zip, byggvir.de.rar oder .7z suchte. Hier ein Log Eintrag.


192.74.229.180 - - [01/Jun/2013:00:01:15 +0200] "GET /byggvir.de.zip HTTP/1.1" 200 139 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler ; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727)"

Die Idee, dass ein Admin seinen Server sichert und die Sicherung auf dem Server selbst zum Herunterladen ablegt ist nicht schlecht. So käme man an die .htaccess oder das Password für den MySQL Server.

Daraus wird nichts: So etwas mach ich nicht!

BTW: Wer behauptet einen alten MSIE 6.0 zu nutzen, der erhält eine kleine Datei mit dem Hinweis, dass der Browser veraltet ist. Mit den Angaben im User Agent scheinen es die Kameraden nicht so genau zu nehmen. Da finden sich viele lustiger Einträge. Ein doppeltes „MSIE 6.0“ ist nur wirklich nicht nötig.

Falsche Bots finden

Geschützte Seiten, die trotzdem über Google gefunden werden wollen, erlauben den Zugriff, wenn er von Google kommt. Im einfachen Fall fragt der Server nur den User Agent String ab. Kennzeichnet er den Aufrufer als Googlebot, wird der Zugriff erlaubt. Dies wird gerne ausgenutzt um einen Zugriffsschutz zu umgehen.

Manche Crawler oder Nutzer – gut oder böse sei dahin gestellt – tarnen sich als Googlebot mit dem User Agent String Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html).

Frage: Wie kann ich erkennen, dass ein Zugriff wirklich von einem Googlebot kommt? Und was kann ich gegen dagegen tun?
„Falsche Bots finden“ weiterlesen