CubelaPetar/notes
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

first commit

Browse Source
This commit is contained in:
Petar Cubela
2025-02-08 21:56:24 +01:00
commit 1f9564ca6a
471 changed files with 74368 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

43
zettelkasten/M-Net_Mail_an_BVV.md Normal file
View File

@@ -0,0 +1,43 @@
## Report
Am 7/8.5.2024 erhielten wir, Softbox GmbH, die Nachricht, dass ein Server des Bayerischen Volkshochschuleverbandes (BVV) eine unsicher Konfiguration aufweist. Der IT-Beauftragte der BVV, Admir Ramic, erhielt am 30.04 die unten angehaengte E-Mail. Darin wird geschildert, dass der Server mit der IP-Addresse 62.254.128.91 eine HHTP-Sicherheitsluecke aufweist. Techinische Details zu dieser Sicherheitsluecke wurden dem von M-Net bereitgestellten Link, https://abuse.m-net.de/ash/collect/45361/bf0db9d0ac4018ca5da7a4a5f7c61c97 , entnommen. Auf dem betroffenen Server ist ein Webserver installiert, welcher die sogennante 'Moodle' im oeffentlichen Internet zur Verfuegung stellt. Es zeigte sich, dass ein Ordner, namens `.git/`, der im Quellverzeichniss des Webservers hinterlegt war oeffentlich aufzufbar war. Unter dem Link <https://vhs-online.info/.git> konnte man den Inhalt dieses Ordners auslesen. In diesem Ordner koennen je nach Konfiguration Nutzerdaten hintelegt sein (Username, Mail, Passwoerter) - was hier nicht der Fall war - weshalb dieser Ordner nicht von der Oeffentlichkeit einsehbar sein sollte.
Die Konfiguration des Webservers wurde so angepasst, sodass dieser Ordner nicht mehr abrufbar ist, wessen man sich vergewissern kann durch klicken auf den obengenannten Link, <https://vhs-online.info/.git>.
Genauer gesagt, wurde die Konfiguration des Webservers 'Apache', welche in der Datei `/etc/apache2/apache2.conf` hinterlegt ist, durch die Zeile `RedirectMatch 404 /.git` erweitert, was dazu fuehrt, dass der Versuch den `.git` Ordner online aufzurufen zu '404 Error' fuerht.
## Mail
Lieber Kunde und Nutzer der M-net-Infrastruktur,
automatisiert wurden wir darüber informiert, dass ein System an Ihrem M-net-Anschluss so konfiguriert ist, dass es missbraucht werden könnte. Es liegt aber noch kein konkreter Missbrauch vor. Den genauen Hintergrund dieser Warnung erfahren Sie hier:
Problem: Warnmeldung (Verwundbares HTTP-Gerät) für IP-Adresse: xxx.xxx.128.91
Ihr System könnte missbraucht werden. Wir empfehlen, die Konfiguration anzupassen.
Mehr Informationen: https://abuse.m-net.de/ash/collect/45361/bf0db9d0ac4018ca5da7a4a5f7c61c97
Bitte prüfen Sie, ob Sie Ihre Konfiguration anpassen möchten. Diese Entscheidung liegt in Ihrem Ermessen. Ob eventuelle Änderungen wirksam sind, kann M-net nicht unmittelbar verifizieren, Sie erkennen es daran, dass Sie keine weitere dieser automatisierten Benachrichtigungen erhalten.
Wir sind verpflichtet, Sie über diesen Umstand zu informieren und Ihnen Anhaltspunkte zur Lösung zu geben (was wir hiermit tun).
Diese Nachricht wurde automatisiert erstellt.
Freundliche Grüße
## M-Net Log
Seen Source Event information
2024-05-07T00:48:51+00:00 Shadowserver
Timestamp 2024-05-07 00:48:51
Severity medium
Ip 62.245.128.91
Protocol tcp
Port 443
Tag git-config-file
Sector Communications, Service Provider, and Hosting Service
Detail repositoryformatversion = 0;filemode = true;bare = false;logallrefupdates = true;fetch = +refs/heads/*:refs/remotes/origin/*;url = git://git.moodle.org/moodle.git
Shadowserver Report scan_http_vulnerable
![picture](m-net-bvv-log.png)