Das war doch mal eine schöne Reportage über WoW…. ohne auf den Klischees rumzureiten… wer sich das auch mal ansehen will, oder verpasst hat.. hier der Link
mms://ms.mdcs.dtag.de/zdf/zdf/07/04/070422_spieledoku_nes_h.wmv
am einfachsten direkt aus dem Windows mediaplayer heraus öffnen. Viel Spass damit 
Tja, nur ein paar Begriffe, ich weiss. Aber das sind in etwa die Eckdaten für den Grund meines ausgelasteten Webservers. Da habe ich vor kurzer zeit awstats wieder aktiviert. Wohlwissentlich, dass die Version noch Sicherheitslücken aufweist. Und als ich gestern mal wieder eine saumässige Internetverbindung hatte, schaute ich mich mal wieder auf meinem Webserver/Firewall um. Und siehe da, dutzende offener Verbindungen (betrachtet mit netstat). Die Prozessliste weisste auch setlsame Prozesse aus, die unter dem Benutzer apache liefen. Einer davon war ein bash, ein anderer “atlantis”. Erst mal den httpd runtergefahren und siehe da, die Prozesse liefen immer noch. Nun ja, diese noch per kill abgeschossen und mich dann auf dem Webserver auf die Suche gemacht nach “atlantis”. Bin dann unter /tmp schnell fündig geworden. Da hatte ich doch 2 Verzeichnisse “root” und “at” unter denen ich ein tar-gezipptes File und noch weitere Files fand. OK, ich hät ‘n Screeni machen sollen, um es als Beispiel hier reinhängen zu können, aber anyway. Mir war gar nicht wohl, dass es mal wieder jemand geschafft hatte auf meinem System Files und Programme ablegen zu können und diese auch noch auszuführen. Schnell weglöschen den ganzen Schrott und noch etwas “Forensik” betreiben. Zu dem Zeitpunkt hatte ich eigentlich nur eine Idee, wie das möglich war. Und ich hoffte insgeheim auch, dass sich meine Vermutung bestätigen würde. Ich dachte zuerst an awstats, das ich ja schon mal deaktiviert hatte, wegen einer Sicherheitslücke, die es dem “Angreifer” ermöglichte, Befehle, Commands, Programme auf dem Server ausführen zu lassen. Nach der genaueren Durchsicht der access-log-Files von Appache wurde ich dann auch wieder fündig, wie jemand diverse commands über awstats auf meinen Webserver ausführte. Darunter waren solche wie wget, cd, rm, chmod. Der Aufrufer dieser so eingeschleusten Commands war die IP 64.150.161.108, welche zu einem Webhoster namens iPOWERWEB.COM (lokalisiert in Phoenix, USA ) gehört. Der dadurch ausgeführte wget zeigte auf 195.34.133.149 das gemäss WhoIs Chello Broadband GmbH in Öserreich gehört. Na ja, lange Rede kurzer Sinn, habe awstats.pl wieder deaktiviert, noch etwailige Restprozesse die unter Apache liefen gekillt, die Verzeichnisse in /tmp gelöscht und danach nochmal mittels netstatt geschaut, wieviele offene Verbindungen noch da waren. Und, oh Wunder, es waren ein paar wenige, die ich mir bzw. meinem Browser und Mailclient zuordnen konnte. Aber eigentlich fragt man sich in so einer Situation schon, ob man nicht rechtliche Schritte unternehmen sollte. Auf der ander Seite scheint mir das ganze ziemlich sinnlos und Zeit/Lust hab ich auch nicht auf grossen Briefverkehr.