Lieber Admin “Theo”, ändere mal schnell etwas an der Konfig des “Winnetou-Servers” auf www.angela-merkel.de, man kann Deine /etc/passwd auslesen. (Den Link poste ich mal lieber nicht, aber es sei dieser Tipp gegeben, sich mal 14 Ebenen außerhalb des DocumentRoot umzuschauen.)
[Dank an Desiatox und mybeNi]
UPDATE: Es scheint als wären die Zugänge aus NRW derzeit abgeschaltet:
#ftpnrw:x:2625:100:FTP-NRW:/u/www-cdunrw:/bin/false #ftpnrwfraktion:x:2626:100:FTP-NRWFraktion:/u/www-nrwfraktion/:/bin/false
Screenshot:
18 Kommentare
bitte einfach mal nach unten scrollen da gibts die naechste politik passwd..
mehr kommt erst nach dem gipfel :D
…und diese Lücke habe ich gefunden und deswegen setzt du noch einen Link auf mein Blog ;-)
Danke schonmal
Der Username heisst ftpnrw, die Shell ist auf /bin/false gesetzt, damit der User sich zwar per ftp, aber nicht per ssh einloggen kann. Wo soll da ein Zugang gesperrt sein? Sieht für mich alles völlig normal aus.
schau mal bitte auf die ‘#’
die kommentiert bekantlicherweise … ;)
@beNi, wenn Du das aufgedeckt hast, dann verlinken wir dich gerne als Quelle.
@ sirko, der interessante aspekt ergibt sich daraus, dass zahlreiche andere user aufgeführt sind, aber nicht für ssh gesperrt sind. ;-)
Unglaublich echt, ein Programmierfehler in der Webseite von Angela! Kinder, in China faellt taeglich mehrmals ein Reissack um und wenn Sie oder irgendwer auf dem G8 dadurch seine Meinung aendert, dann gebuehrt eich mein Respekt…
Die Lösung ist natürlich ganz einfach:
chmod a-rwx /etc/passwd
;-)
pennsons, das hat überhaupt nichts mit G8 zu tun. Vielleicht sollten wir es besser als “Entertainment” bezeichnen. Statt Paris Hilton bringen wir die zu diesem Blog passenden nichtigen Unterhaltungsnachrichten.
[...]diesem Blog passenden nichtigen[...] nichtigen? oder richtigen? ;)
carsten, ja dann mach das mal ;-)
gruß beni
Wer “Die Totale Sicherheit” fordert, sollte auch Vorbild sein und seine Webseite nicht HTML-Schraubern überlassen, die den ältesten und blödesten Fehler seit Erfindung des include() machen.
Natürlich wird stattdessen eher ein weiteres Gesetz erlassen, dasw es verbietet, URLs von Hand in den Browser einzugeben.
Zur Info: meine Hinweismail im Kontaktformular bei angela-merkel.de, ca. 11:45 Uhr geschrieben, wurde bisher nicht beantwortet, aber es scheint nicht mehr zu funktionieren.
@beNi: Du bist drin. ;-)
Viel schlimmer ist doch das verphotoshoppte Portraitfoto, auf dem sie höchstens 22 aussieht. Ts, ts, ts.
D.
carsten ich hab direkt um 13 uhr ne mail an die leute geschickt und denen ihre passwd-datei geschickt ;-)
und angie gefragt, ob sie wolfi von mir doch bitte grüßt *fg
Ist das schon bekannt das auf “angela-merkel” ein BNC läuft? War das einer von euch? *g*
Nachtrag:
Lustigerweise schmeisst der BNC zurück das er PoDoL.JaYa.CoM gehört:
:Welcome!psyBNC@PoDoL.JaYa.CoM NOTICE * :psyBNC2.3.1
Der Registrar sitzt in Seoul. G8 Kommunikation vom feinsten oder mal ne ganz neue Art von Industriespionage? *g*
ja die Kanzlerin is ja die “direkte” Quelle aller informationen ;-)
Vielleicht ham die Politiker da auchne versteckte Kommunikationsplattform drauf :)
@zorn, von uns bestimmt nicht.
Heise hat immerhin heute drüber berichtet. ;-)
3 Trackbacks
[...] Zum Artikel auf netzpolitik.org [...]
[...] netzpolitik.org » Angela-Merkel.de ist offen zum Stöbern [...]
[...] Laut netpolitik.org hat der Administrator der Website http://www.angela-merkel.de den Server schlecht konfiguriert. [...]