Server-Status: öffentlich
Zehntausende Webserver publizieren heikle Konfigurations- und Statusdaten
Besucher-IPs, Konfigurationsdaten, Benutzernamen, Meeting-Kennungen – das präsentieren fehlkonfigurierte Webserver offen im Internet. Allein in Deutschland finden sich zehntausende Fälle, auch bei Bundesbehörden und IT-Firmen.
Um Server zu debuggen und zu überwachen, ist es nützlich, Konfigurations- und Statusinformationen einfach abrufen zu können. Der verbreitete Webserver Apache bietet dafür unter anderem die Module mod_info
und mod_status
. Beide stellen HTML-Seiten bereit, die allerlei Daten über den Server anzeigen und standardmäßig unter den Pfaden /server-info
und /server-status
zu erreichen sind.
Seit Jahren kommt es immer wieder zu Fällen, in denen Server falsch konfiguriert sind und die Seiten dieser Module unabsichtlich veröffentlicht werden. Das ist aber kein lässliches Kavaliersdelikt, das nur dröge Verwaltungsdaten betrifft. Konkrete Nachforschungen fördern oft sensible Information zutage, etwa Links, die unberechtigte Downloads erlauben, oder Kennungen, die Zugang zu internen Meetings verschaffen.