frischluft-multimedia.de, Scuddy.de & Co. – Ein Passwort für alle und das sichtbar bitte

 In Sicherheit

Vorgestern habe ich mir eine Wiederholung der Gründer-Show „Die Höhle der Löwen“ mit Jochen Schweizer, Ralf Dümmel, Judith Williams, Frank Thelen und Carsten Maschmeyer angesehen. Eine super Sendung mit teils guten Erfindungen, wie ich finde.

Dort wurde der „Scuddy“ ein zusammenklappbarer Elektroroller vorgestellt. Diese Vorstellung hatte ich wohl in der Vergangenheit verpasst.

Entsprechend wollte ich mir die Webseite einmal ansehen um mehr über den Roller namens Scuddy (eine Mischung aus Scooter und Buddy) in Erfahrung zu bringen. Es ist wenig überraschend, wenn eine Webseite noch während der Ausstrahlung im TV überlastet ist und entsprechend langsam bis gar nicht lädt.

Viel interessanter war dann die ausgegebene Fehlermeldung (zu schützende Inhalte mit xxx ersetzt).

1
2
3
4
5
6
7
8
Warning: mysqli::real_connect(): (HY000/1203): User db514xxx already has more than 'max_user_connections' active connections in system/modules/core/library/Contao/Database/Mysqli.php on line 50
 
#0 [internal function]: __error(2, 'mysqli::real_co...', '/kunden/514xxx_...', 50, Array) #1 system/modules/core/library/Contao/Database/Mysqli.php(50): mysqli->real_connect('mysql5.scuddy.a...', 'db514xxx', 'xxxxxxx', 'db514xxx', 3306, '') #2 system/modules/core/library/Contao/Database.php(77): Contao\Database\Mysqli->connect() #3 system/modules/core/library/Contao/Database.php(161): Contao\Database->__construct(Array) #4 [internal function]: Contao\Database::getInstance() #5 system/modules/core/library/Contao/System.php(128): call_user_func(Array) #6 system/modules/core/library/Contao/User.php(89): Contao\System->import('Database') #7 system/modules/core/classes/FrontendUser.php(79): Contao\User->__construct() #8 system/modules/core/library/Contao/User.php(151): Contao\FrontendUser->__construct() #9 system/modules/zzz_merconis/config/config.php(13): Contao\User::getInstance() #10 system/modules/core/library/Contao/Config.php(145): include('/kunden/514xxx_...') #11 system/modules/core/library/Contao/Config.php(112): Contao\Config->initialize() #12 system/initialize.php(156): Contao\Config::getInstance() #13 index.php(18): require('/kunden/514xxx_...') #14 {main}
 
 
Fatal error: Uncaught exception Exception with message User db514xxx already has more than 'max_user_connections' active connections thrown in system/modules/core/library/Contao/Database/Mysqli.php on line 54
 
#0 system/modules/core/library/Contao/Database.php(77): Contao\Database\Mysqli->connect() #1 system/modules/core/library/Contao/Database.php(161): Contao\Database->__construct(Array) #2 [internal function]: Contao\Database::getInstance() #3 system/modules/core/library/Contao/System.php(128): call_user_func(Array) #4 system/modules/core/library/Contao/User.php(89): Contao\System->import('Database') #5 system/modules/core/classes/FrontendUser.php(79): Contao\User->__construct() #6 system/modules/core/library/Contao/User.php(151): Contao\FrontendUser->__construct() #7 system/modules/zzz_merconis/config/config.php(13): Contao\User::getInstance() #8 system/modules/core/library/Contao/Config.php(145): include('/kunden/514xxx_...') #9 system/modules/core/library/Contao/Config.php(112): Contao\Config->initialize() #10 system/initialize.php(156): Contao\Config::getInstance() #11 index.php(18): require('/kunden/514xxx_...') #12 {main}

Hier sah man schon den Fehler

…already has more than ‚max_user_connections‘ active connections

der darauf hindeute, dass die maximale Anzahl an Verbindungen zur Datenbank erreicht wurde.
Da die Webseite bei DomainFactory gehostet ist, wird diese (Verbindungsanzahl) durch den Hoster vorgegeben, ohne das der Betreiber die maximale Anzahl erhöhen kann oder der Betreiber muss hier eben je nach Hostingpaket selbst Hand anlegen und die Konfiguration selbst vornehmen.

Noch Interessanter jedoch ist die Zeile

mysqli->real_connect(‚mysql5.scuddy.a…‘, ‚db514xxx‘, ‚xxxxxxx‘, ‚db514xxx‘, 3306, “) #2

Hier wurde tatsächlich für eine mir nicht bekannte Zeit die Fehlermeldung vollständig ausgegeben und aufgrund von sagen wir einmal grobem Fehlverhalten der Datenbankname, Benutzername und das Passwort im Klartext angezeigt. Der Hostname wurde aufgrund seiner Länge automatisch gekürzt. Wer aber einmal weiß, dass der Hoster DomainFactory ist und sich weiteren Schritten etwas bemüht, wird den vollständigen Hostnamen herausfinden.

Somit gelingt auch der Zugriff auf die vollständige MySQLi Datenbank!

Anhand der Fehlermeldung lässt sich auch erkennen, dass als CMS (Content Management System) das barrierefreie Open Source Content Management System „Contao“ verwendet wird.

Navigiert man nun auf http://scuddy.de/contao/ wird man direkt und ohne weiteren Schutzmechanismuss an das Backend des CMS weitergeleitet. Das in der Fehlermeldung angegebene Passwort ist hier jedoch nicht verwendbar.

Als nächstes wollte ich einmal prüfen, ob die Installationsroutine noch aufrufbar ist und musste zu meinem erstaunen feststellen, dass ich unter der URL http://scuddy.de/contao/install.php tatsächlich die Installationsroutine öffnen kann.

Diese ist zwar mit einem Passwort geschützt, aber und hier musste ich schon schlucken, funktionierte das Passwort das ebenfalls für die MySQLi-Verbindung verwendet wurde.

In der Installationsroutine konnte ich noch einige Datenbanken ausfindig machen, aber könnte auch das CMS komplett neu installieren, womit die jetzige Webseite quasi auf 0 zurückgesetzt werden würde.

Somit bleibt bis zu diesem Punkt festzustellen, dass es erschreckend ist, dass eine Webseite, die durch die VOX Show einem solch breiten Publikum präsentiert wird, derart flapsig gesichert wurde.

Die Anzeige der Fehlermeldungen sollten von Haus aus immer deaktiviert sein und nur bei groben Fehlern zur Analyse eingeschaltet werden. Zumindest in dem CMS Contao ist das mit wenigen Klicks unter den Menüpunkten „Einstellungen“ -> „Sicherheitseinstellungen“ erledigt.

Ich habe mir rein aus Neugier, den Ersteller der Webseite, die Firma Frischluft Multimedia aus Kiel angesehen. Neben namhaften Kunden, für die man wohl die ein oder andere Arbeit verrichtet, werden auch Webseiten kleinerer Unternehmen erstellt. Was aber nicht bedeutet, dass durch einen Mißbrauch kein Schaden entstehen kann.

Da ich schon einmal dabei war, wollte ich mir die Contao-Installationen anderer Kunden der Agentur ansehen und bin beinahe von meinem Bürostuhl gefallen.

Es wurden für alle von mir überprüften Kunden das gleiche Passwort, bestehend aus 5 Buchstaben und drei Zahlen verwendet. Wohlbemerkt auch für die der eigenen Internetpräsenz.

Das halte ich für ziemlich Fahrlässig!

Ich habe bzgl. der Domain Scuddy.de die Geschäftsführer Tim Ascheberg & Jörn Jacobi inkl. Die Agentur Frischluft Multimedia per E-Mail kontaktiert.

Das war heute am 15.03.2017 gegen 10:15 Uhr.

Die Passwörter für Scuddy.de sind 3 Stunden später geändert worden und Herr Rubin  von Frischluft Multimedia teilte mir mit, dass er das Problem mit sofortiger Wirkung angehen wird. Wörtlich möchte er nun explizit die Passwortsicherheit angehen und die Konfigurationen überarbeiten um solche Ereignisse in Zukunft zu verhindern.

Hier schonmal ein Lob an die Reaktionsgeschwindigkeit.

Allgemein sollte man sich als Agentur auch um die Sicherheit der Kunden und deren Daten bemühen. Zu oft schon sind durch kleine Fehler massenweiße private Daten veröffentlicht (geleaked) worden. Den Schaden haben am Ende die Kunden und deren Kunden, dessen private Daten wie Adressen oder gar Kreditkartendaten missbraucht werden.

In diesem Fall gehe ich jedoch nicht von einem kleinen Fehler aus, da für mehrere Kunden das identische Passwort verwendet wurde. Das kann schon unter den Punkt grobe Fahrlässigkeit fallen. Ich hoffe die Agentur Frischluft Multimedia ist hier mit einem blauen Auge davon gekommen und kümmert sich in Zukunft auch etwas mehr um die Sicherheit ihrer Kunden.

Dieser kleine Artikel soll keine Kritik an Frischluft Multimedia sein, sondern vielmehr aufzeigen, dass man neben dem erstellen von Webseiten, egal mit oder ohne CMS, von welchem Anbieter auch immer die zusammenhängende Systeme bzw. Software wie z.B. PHP, Apache, MySQL\mySQLi, Windows\Linux etc. im Auge behalten muss. Ich bin mir sicher das Contao, WordPress, Typo3 und wie sie alle heißen das bestmöglichste tun um Bugs zu finden und zu beseitigen, doch können die Hersteller Fehler die auf der Anwenderseite entstehen nur sehr schwer verhindern.



Beginnen Sie mit der Eingabe und drücken Sie Enter, um zu suchen