Daniel Ruf's Recent LinkedIn Posts

Zugriff auf Webspace von anderen Hosting-Kunden Bei der Analyse einer gehackten Webseite (in dem Fall vhost_47183) fiel mir auf, dass ich problemlos in alle Dateien der anderen Kunden auf dem gleichen Server schauen konnte. Dadurch konnte ich auch die Datenbank-Daten der anderen WordPress-Webseiten einsehen. Vermutlich konnten die Hacker über den gleichen Weg bei allen Hosting-Kunden auf dem Server einen weiteren Benutzer direkt in der Datenbank hinzufügen. Bei Stichproben wurden genau die gleichen Benutzer in den anderen Datenbanken entdeckt. Über diese nachträglich hinzufügten Benutzer wurde laut meinen Analyse-Ergebnissen nach erfolgreichem Login weiterer Schadcode abgelegt. Der Hosting-Anbieter konnte dank meiner Informationen die Konfigurations-Probleme beheben und somit weitere Zugriffe auf die anderen Kunden unterbinden.

heute ist mein letzter Tag auf LinkedIn Zur weiteren Fokussierung werde ich den aktiven Konsum von Informationen auf LinkedIn ab heute einstellen und die weitere Nutzung stark einschränken. Im digitalen Zeitalter ist für mich wichtig, dass ich relevante Informationen möglichst effizient erhalte. Der Algorithmus von LinkedIn hat jedoch ein anderes Ziel und für viele Personen sowie Unternehmen ist LinkedIn zu einer Plattform geworden, die sich immer mehr an anderen Plattformen wie Facebook, TikTok sowie YouTube orientiert. Auf diese Entwicklung haben wir keinen großen Einfluss, weswegen für mich persönlich der Mehrwert als Informationsquelle stark gesunken ist. Online sowie offline werde ich auf zukünftigen Veranstaltungen von CISO Alliance e.V., ISACA Germany Chapter e.V. und (bald) CAST e.V. anzutreffen sein. In meiner Freizeit werde ich weiterhin als ethischer Hacker bei Unternehmen Sicherheitsprobleme aufdecken und alle Einnahmen daraus für Zwecke spenden, die einen positiven Einfluss auf die Gesellschaft haben. Vereinzelt wird es neue Artikel auf meinem Blog geben. Wer sich rund um Informationssicherheit oder allgemein mit mir austauschen möchte, erreicht mich jederzeit per Threema. Für weiterführende Informationen zu digitalen Plattformen und deren Entwicklung, kann ich die Artikel von Cory Doctorow über Enshi**ification empfehlen. Das Foto ist nicht mit Hilfe von KI erstellt, es zeigt die Landschaft an meinem Wohnort und entstand während eines Spaziergangs.

Botnet entdeckt, beobachtet und lahmgelegt Bei der Analyse einer kompromittierten Webseite entdeckte ich eine verdächtige PHP-Datei. Diese enthielt Code und typische Funktionsnamen, die in Zusammenhang mit Botnets bekannt sind (synflood, udpflood, portscan, ...). Zusätzlich wurde per Code nachträglich eine weitere (in Perl geschriebene) Komponente heruntergeladen und ausgeführt. Beide Teile enthielten Logik sowie die Adressen für das IRC-Botnet, über welches die kompromittierten Webserver ihre Befehle bekamen. IRC (Internet Relay Chat) ist eine recht alte und leichtgewichtige Technologie, um eine einfache Chat-Infrastruktur zu betreiben. Viele Botnets kommunizieren über eigens betriebene IRC-Server, meistens vollkommen unverschlüsselt. Anhand dieser Informationen konnte ich dann einfach dem IRC-Botnet beitreten. Im Schnitt waren dort ca. 50 - 70 kompromittierte Webserver als Benutzer sichtbar. Über mehrere Tage beobachtete ich den IRC-Server, bis plötzlich die Benutzer aktiv wurden. Ich konnte live bei einem DDoS-Angriff zusehen und die relevanten Beweise inklusive IRC-Logs sichern. Die gesammelten Beweise gingen dann zeitnah an die entsprechenden verantwortlichen Stellen und das Botnet war schnell offline genommen, und das für immer. #Botnet #Sicherheit #Webseite #DDoS #Hackerangriff

Ich habe einen neuen Job und arbeite jetzt als Senior Software Developer bei Advyce & Company an der PlannerSuite und weiteren Produkten. Mehr Infos: https://lnkd.in/ecwhPesH

sicherer im Web unterwegs mit Pi-hole Heute hatte ich mein Pi-hole (auf einem alten Raspberry Pi 3) mit einer besseren SD-Karte neu eingerichtet, da die alte SD-Karte für aktuelle Ansprüche nicht mehr ausreichend schnell war. Es ist immer erstaunlich, wie viele DNS-Anfragen von einem einzelnen Endgerät innerhalb von wenigen Sekunden verschickt werden. Noch erstaunlicher ist, wie viele davon in der Standard-Konfiguration von Pi-hole als problematisch eingestuft und geblockt werden. Die Anschaffung sowie der Betrieb eines Raspberry Pi und die Einrichtung von Pi OS sowie Pi-hole sind recht einfach und kostengünstig.

ein falscher Klick und schon hat man unerwünschte Software mitinstalliert Die meisten Anwender suchen per Suchmaschine nach Software. Und nicht selten wird dann das erste Suchergebnis angeklickt und dort die Software heruntergeladen. Doch wie in diesem Bild steckt hinter dem ersten Suchergebnis oft eine unseriöse Webseite (manchmal auch als Werbeanzeige). Die offizielle Webseite wäre in diesem Fall das zweite Suchergebnis. Bei dem Link zur unseriösen Webseite kann man zwar die Software herunterladen, jedoch ist diese mit zusätzlicher unerwünschter Software (Malware, Adware, ...) gebündelt. Über zusätzliche Quellen wie Wikipedia kann man oftmals die offiziellen Webseiten ohne viel Aufwand finden. Deswegen sollte man immer genauer prüfen, ob die gefundenen Webseiten vertrauenswürdige Quellen sind.

mein Wegzug von LinkedIn geht in die finale Phase Meine private Webseite unter https://daniel-ruf.de ist nun der neue Ort für die Informationen aus meinem LinkedIn-Profil. Diese werden aktuell schrittweise übertragen. (Update: es wurden alle relevanten Inhalte übertragen, jedoch auch manches einfach entfernt und separat archiviert - bei Interesse können per Email oder Forum ein paar Details zu weiteren Stationen in meinem bisherigen Leben geteilt werden) Als Lösung setze ich auf Fossil SCM, das auf SQLite aufbaut und von den gleichen Entwicklern stammt. Aufgrund der integrierten Funktionen, langfristigen Stabilität (Unterstützung für SQLite bis 2050 geplant) sowie dem geringen Ressourcenbedarf, wird Fossil langfristig meinen Blog (umgesetzt mit Hugo) als Plattform ersetzen. Mein aktuell geplantes Setup sieht folgendermaßen aus: - individuelle Inhaltsseiten (per Wiki und unversionierte Dateien) - moderiertes Forum (Blog-Beiträge und Kommentare, freier Austausch) (Update: es gibt nun ein Forum unter https://lnkd.in/dVY63kMy, dort wird es auch eine Art Miniblog auf Deutsch geben, der aktuelle Blog unter https://blog.daniel-ruf.de wird soweit nicht mehr gepflegt - an seiner Stelle wird ein Microblog zu Technik-Themen auf Englisch unter https://lnkd.in/dJCva5ty treten) Im Laufe der Zeit werde ich das Design mit einem eigenen Skin anpassen und weitere Bereiche freischalten. Darunter eventuell alte Projekte (versioniert oder unversioniert). Wer mehr zu Fossil SCM und SQLite erfahren möchte, findet hier weiterführende Informationen: https://lnkd.in/dQuF_im5 https://lnkd.in/dcvNZ-QY (Update: ihr erreicht mich nun nur noch über Forum, Email sowie Threema)