maandag, 28 december 2009

Odeonische purgering
aangaande de website van Odeon Nijmegen

Er zijn een aantal belangrijke ontwikkelingen te melden over onderhavige website. Een aantal toepassingen en subsites zijn ofwel verwijderd danwel veranderd en ook zijn er enkele nieuwe sites.

Het meest belangrijke om te vermelden is dat de site van Odeon is aangevallen door obscure internet-criminelen. Op enig moment is er een tijdsvenster geweest waarin men kans heeft gezien om duizenden bestanden te infecteren.

Er is aan de kop van elk beschrijfbaar script (.php-bestand) een enkele regel code toegevoegd. Deze code zelf is gecodeerd. Na decodering blijkt er te worden verwezen naar een enorm groot PHP-script (177 kb) dat zeer diep genest op de site is verstopt. Ook dit bestand is weer gecodeerde code; na decodering blijft het onduidelijk wat het programma feitelijk doet.

Het heeft zeer veel tijd en inspanning gekost om de infectie(-s) ongedaan te maken. Het grote programmabestand is hernoemd en leeggemaakt. Daarmee wordt bereikt dat geen enkele code meer kan worden uitgevoerd door een oproepend besmet script.
Ook zijn alle schoongemaakte scripts ge-CHMOD naar 644 (wat namelijk opvalt is dat de infecties worden opgelopen door gratis pakketten uit de public domain-sfeer die op een of andere manier werken met UNIX file-permissions).
Tot nu toe schijnt dit allemaal te helpen maar het is nog even afwachten.

Die ene regel viruscode bevat de ingepakte code met in totaal bijna 500 karakters (klk hier voor meer détails):

eval(base64_decode('aWYo {. . . .} fX0=')); 

Als je zoekt op het internet naar het begin van deze string dan krijg je veel zoekresultaten terug. Wat blijkt nu: niet alleen bij Odeon met CMS Made Simple, SMF Forum, Pivot Weblog, Gallery v1 en Gallery v2 maar ook PHP BB3, WordPress etc. gebruikers maken melding van infecties. (Is dit malware uit Japan, Rusland of Liechtenstein? Er is niemand die dat weet.)
Het betreft een nieuw fenomeneen op het internet en zeer veel sites zijn er reeds mee besmet (mogelijk via FTP). Daarnaast wordt melding gemaakt van geïnfecteerde HTML- en JavaScript-bestanden.

Wat de software doet na besmetting is vooralsnog volstrekt onduidelijk.

Het kan gaan om zombificering van een website waardoor deze dienst doet als spamming-machine, het kan gaan om het verzamelen van login-gegevens (namen en paswoorden) maar het zou ook kunnen gaan om bij te houden wie er op een website komt en wat er op wordt gedaan.

Maar eng is het dus allemaal wel.

Dit is niet de eerste keer dat er misbruik wordt gemaakt van de website van Odeon. Ziehier enkele voorbeelden uit het verleden en heden:

• De admin van het [WEBLOG] was ineens door een of andere Zweedse kok uit Sesame Street gewijzigd en nog weer wat later waren alle vervolgteksten onbereikbaar.
• De gastenboeken van Augusto, De Overkant, Mouché, Doundoum en Pangea zijn uitbundig gespamd: alleen de eerste twee werken nog.
• De krant Le Panthéon is twee keer gehackt en is inmiddels afdoende beveiligd.
• Het Odeon a/d Waal-forum is uitgelaten gespamd door nieuwbakken gebruikers van over de hele wereld: door zogenoemde spambots: op de ban-lijst staan er nu meer dan honderd.
• Het forum van de kabouter-site is misbruikt door voornamelijk sexadvertentie-spammers: zeer smerig en slecht ontvangen door de KPN: inmiddels is dit forum na schoonmaak read-only gemaakt.
• Alle mailboxen van Odeon worden enorm gespamd met honderden emails per week.

ERGO Het schoonhouden van het nest is een inspannende en zeer tijdrovende klus. Niet altijd kan het goede functioneren van een pakket of subsite nog langer worden gegarandeerd. Vandaar dat de gehele site van Odeon toe is aan een werkelijk ingrijpende en zeer grondige schoonmaak:
een purgering met behulp van een vette virtuele vlammenwerper (V3).
Hoe dat precies is aangepakt, wordt hierna uit de doeken gedaan.

Zet je schrap. Fasten seatbelts, please !

De lancering

Bedoelde purgering is op te vatten als een drie-trapsraket: eerst moet alle overbodige ballast er uit, daarna dienen de benodigde verbeteringen te worden doorgevoerd en laatstelijk is er wellicht weer psychische ruimte voor wat nieuwe zaken.

De minst pijnlijke verandering is het vaarwel zeggen van het TSEP-zoekscript: dit heeft nooit echt bevredigend gewerkt en gaf bij de aanmaak van zoekindices telkens time-out fouten. Het fraaie [WEBLOG] werd al een jaar of 3 niet meer bijgehouden, eigenlijk sinds die Zweedse kok uit Sesam Straat het beheerscherm naar zijn taal had aangepast. Dus dat doet ook eigenlijk geen zeer. Wel jammer van dit van origine Nederlands product maar het is ook niet verder doorontwikkeld.

De site van Mouché is op zijn verzoek flink aangepast: het gastenboek liep vol met spam dus dat ging als eerste weg. Mouché is inmiddels al weer wat verder met zijn ontwikkeling en dat werd onvoldoende op zijn site gereflecteerd. Halverwege december 2009 zijn echter alle aanpassingen verricht en is ook deze site weer toonbaar.

Het meest pijnlijke is het verhaal met Gallery versies 1 en 2, respectievelijk [GALLERY] en [ALBUMS] bij Odeon. Gallery is een mooi script uit India dat gebruik maakt van UNIX bestandspermissies. Versie 1 maakt geen gebruik van SQL-tabellen en versie 2 juist weer wel. Bij de verhuizing van provider TripleV naar DahHosting bleek Gallery v1 toe aan een upgrade. Dat is niet goed gelukt. Vandaar dat Gallery v2 in een aparte directory werd gezet.

Gallery v1 nam 400 MB in beslag en Gallery v2 een slodige 600 MB. In de praktijk bleek het onmogelijk om deze grote directories te backup-en. Een restore van Gallery bleek onmogelijk. En de website ging van 2 naar 3 GB webspace. Lange tijd werd 2,5 GB gebruikt en was een compete site-backup niet mogelijk. Op dit moment is 2 GB in gebruik. Bovendien is sinds dit incident contractueel vastgelegd dat er elke dag een complete backup wordt gemaakt door de provider à raison van 25m,- euro per jaar.

Op 6 december 2009 was de site van Odeon gedurende 16 uren down: na het weer up zijn bleek Gallery v2 rare kuren te vertonen. Een nadere inspectie toonde de infecties van alle beschrijfbare php-bestanden over de gehele site. Daarop heb ik bij de provider alarm geslagen. Omdat ik [Gallery] en [Albums] weer online wou krijgen heb ik gevraagd om deze te restoren met de laatste backup. IDFNV heeft die restore gedaan maar het mocht niet baten: [Gallery] bleef maar fouten melden en wou niet starten en [Albums] dito. Daarop heb ik moeten beslissen om beide pakketten vaarwel te zeggen en alle afbeeldingen onder te brengen bij een ander pakket.

Dat werd Coppermine Photo Gallery (CPG); een stabiel en uitontwikkeld pakket dat soepel functioneert zonder uitgebreid gebruik te maken van UNIX file-permissions. CPG maakt gebruik van SQL-tabellen en blijft met zijn tengels af van ge-upload-e bestanden dit in tegenstelling tot Gallery v2 die alle afbeeldingen hernoemde waardoor je als beheerder niet meer kon zien welk bestand wat was.

Het team van Gallery maakt op zijn website melding van de komst van Gallery v3 die vanaf de grond zou worden herschreven (Gallery v2 was een topzwaar pakket dat zijn doel op een aantal terreinen ruimschoots voorbij schoot). De lancering zou zijn in januari 2009 ! Het is er nog steeds niet en Odeon gaat daar ook niet op zitten wachten. Het Gallery-team heeft zich verslikt in het eigen succes want Gallery is wereldwijd miljoenen keren toegepast. Ik ben benieuwd of dat nog langer het geval zal zijn nadat bekend wordt dat het team met de ontwikkeling is gestopt.

Het heeft een week geduurd eer de nieuwe [ALBUMS] waren ingedeeld, ingericht en opgetuigd. Het pakket is prettig snel en gemakkelijk te bedienen, logisch van opbouw en consistent qua beheer. De hoofdpagina van [ALBUMS] is zo ingericht dat deze de gehele site van Odeon overzichtelijk maakt. Er is een aparte categorie aangemaakt voor de Speaker's Corner en een ere-gallerij voor de gevallenen van Odeon; In Memoriam.
En voor Lot's Jewel Design zijn er afbeeldingen opgenomen met voorbeelden van haar juwelen. Ook de werken van Alexis, Chris, Jonas en Sjoerd (nieuw bij Odeon!) zijn weer zichtbaar.

Vervolgens moesten alle verwijzingen naar de oude Gallery v1 en v2 worden aangepast naar CPG v1.14 en dat was weer een enorme klus die nog niet geheel is afgerond. Want de sites van Augusto, Mouché, Jonas, Sjoerd, OadW, Virtual Vistas, ZONEs, Le Panthéon en [Home] moesten worden aangepast. Alle Le Rapido-nieuwsbrieven moeten nog worden aangepast.

Nota bene: bij de verhuizing en herinrichting van [ALBUMS] zijn de omschrijvingen en de statistieken verloren gegaan !
Een aantal Odeonieten zal niet geheel tevreden kunnen zijn over deze gang van zaken maar Times they are achangin' . . .

Hopelijk begrijpt de lezer nu iets meer van mijn bloeddoorlopen rode ogen met grote vlammende pupillen, van mijn zwetende voorhoofd en van mijn natte enge handjes en trillende beentjes. . . . .

1. [Jamroom] Music CMS is definitief verwijderd i.v.m. gebrek aan belangstelling.
2. Singer-songwiter Diego Kai heeft per Q1 ook een site bij Odeon.
3. Het is op dit moment nog onzeker of ook /Gertjan (WordPress) verdwijnt.
4. De site van graphisch vormgever /Sjoerd is nog in ontwikkeling.
5. [Fruit] zal snel verdwijnen als de belangstellng tegen blijft vallen.
6. [EnschedeRamp] van DonH is in aanbouw maar het forum daarvan werkt al.
7. TIP: Kijk bij [HOME] eens naar het weekoverzicht bij het AGENDA-menu.

 [ALBUMS]