Durch eine Schwere Sicherheitslücke in der api von Netmon wurde auf
dem Server srv01 eingebrochen. Wir konnten unterandern feststellen das
auf die /etc/passwd zugegriffen wurde. Die Sicherheitslücke ist dank
Clemens bereits geschlossen. Wir haben mit rootkit scannern geprüft ob
rootkits eingerichtet wurden.
Neben uns sind auch anderen Communitys betroffen zurzeit bekannt sind
Freifunk Franken und Ansbach siehe Artikel [0]. Es ist auszugehen das
der/die Angreifer die selben wie bei uns sind.
GET/api.php?section=1&class=echo+shell_exec%28%27cat+%2fetc%2fpasswd%27%29%3b+%2f%2fHTTP/1.1" 200 556 „-“ „Mozilla/5.0 (iPhone; CPU iPhone OS 8_1_2 like
Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Version/8.0
Mobile/12B440 Safari/600.1.4“
Mit dem Unterschied dass eine „große IT Firma“ jetzt in aller Regel stillhalten würde statt ihre Mitbewerber zu warnen. Hier ist das Problem einem der Admins aufgefallen und macht jetzt sehr schnell bei allen Communities die Runde damit das Loch gestopft wird. Ich setzte jetzt einfach mal voraus dass jemand entsprechende Informationen über die Netmon Mailling Listen verschickt hat.
Hilfreich wäre ein kleiner Argumentations-Leitfaden - dieses Thema wird sicher vielen demnächst begegnen, wenn sie sich für Freifunk positionieren in der Öffentlichkeit.
