ScriptBlogger

Vor einer Weile haben wir begonnen, unsere Scripte übersetzen zu lassen. Daraufhin kam folgendes Angebot:

I can translate in Bulgarian and Russian. Both are my native languages.

Wir dachten uns, starten wir mit Russisch, weil es von mehr Leuten gesprochen wird.

We would be interested in Russian first.

Das kam jedoch nicht besonders gut an:

Genlemen,

I don't care about your good program. Scripts like yours are all around the web. Most of them are for free, some could be downloaded from any torrent tracker, or from anywhere.

I told you that I can translate in Bulgarian and Russian. Cyrilic alphabet was invented by Bulgarians, not by Russians. You didn't understand. I am Bulgarian. Russian first - then find yourself a russian translator.

Na, das machen wir doch gern. Drei Wochen später schrieb der Typ erneut.

I can translate in Bulgarian and Russian. Both are my native languages. Just send me the language packs.

Diesmal haben wir gleich dankend abgelehnt. Bei Prüfung der E-Mail-Adresse stellte sich heraus, dass der Typ auch Urheber einer anderen interessanten E-Mail ist.

Verstärkt fragen jetzt Kunden bei uns nach, ob unsere Scripte eine Aktualisierung von MySQL auf Version 5 problemlos mitmacht. Machen sie. Einem unserer Kunden wurde das Update recht deutlich ans Herz gelegt:

Betreff: Mahnung MySQL4 Abschaltung

Sie erhalten diese E-Mail als technischer Kontakt eines Kunden von [...]. Wir haben Sie in den letzten Wochen darüber in Kenntnis gesetzt, dass MySQL4 ab Ende 2009 von [uns] aus Sicherheitsgründen nicht mehr unterstützt wird. Um einen reibungslosen und sicheren Betrieb aller Datenbanken garantieren zu können, sollten Sie unverzüglich Ihre MySQL4 Datenbanken entweder löschen oder auf MySQL5 migrieren. Sollten Sie dieser Aufforderung nicht nachkommen werden alle Ihre Webseiten welche auf MySQL4 Datenbanken zugreifen per Anfang November 2009 nicht mehr funktionieren.

Ein Nutzer möchte die Captcha-Funktion unseres Form-Mail-Scripts nutzen, nur leider fehlt auf dem Server GD2 und Freetype. Er schrieb dann:

Moreover, my webhost [...] has now agreed to upload the GD2 and FreeType on their server; but they have asked me as to which Directory the same ought to be uploaded.

Das sollte man als Anbieter von Webservern doch eigentlich wissen, oder? Mal davon abgesehen, dass beide Komponenten sich nicht durch reines Hochgeladen zum Funktionieren bewegen lassen. :-[]

Unser Kontaktformular-Script (Form Mail) ist jetzt auch auf Holländisch inklusive .nl-Domain verfügbar. :-)

Ein Kunde des Kommentar-Scripts hat jetzt bereits zum dritten Mal den Installations-Service geordert. Das erste Mal war es die normale Installation. Das zweite Mal hatte es vermutlich Spam-Gründe. Und dieses Mal hatte eine Software des Kunden beim Aktualisieren der Website einfach mal das Script gelöscht. Schöne Arbeitsbeschaffungsmaßnahme für uns. ;-)

Bei einem Kunden gesehen:

Was das ist? Das sind die letzten paar Einträge in einer Liste aus über tausend Dateien (1.626 umgenau zu sein), von denen zwei jeweils eine Galerie bilden - basierend auf unserem Galerie-Script.

Der folgende Screenshot zeigt die gesamte Liste - komprimiert auf 800 Pixel. Der hellblaue Streifen sind die Links. :-) Im Original ist der Screenshot beachtliche 32.770 Pixel hoch.

Da hat jemand was dagegen, dass wir mit unseren Scripten Geld verdienen.

My dear friends,

You are trying to get money with scripts well known all around the world. All of your scripts are nothing new, but the willing to make money automaticaly clears you from my list.

No regards my dear friends.

Weiter geht's mit der Übersetzungsaktion. Das Datei-Download-Script (文件下载) und das Kurz-URL-Script (简短网址) gibt's jetzt auch auf Chinesisch, komplett mit Dokumentation. Als nächstes ist das Wegwerf-E-Mail-Script dran.

Die vor Kurzem gestartete Übersetzungsaktion fängt an Früchte zu tragen. Das Form Mail Script gibt es jetzt in arabischer Sprache. Mal sehen, wie das angenommen wird und vor allen Dingen wie gut die Übersetzung am Ende wirklich ist.

Hinweis: Es folgt eine etwas längliche Forums- und Mail-Korrespondenz. :-P

Letztens schrieb ein Kunde folgendes im Support-Forum:

Script Vulnerability!

Today my site, which uses the short URL script, was "hacked" via the script using iframe injection in to a few PHP files, according to my hosting company.

When I went to my site, the main page was not working at all. It displayed a php error for index.php. When I went to that file, I found the following code at the bottom of the file:

Code:
<iframe src="http://example.com
<iframe src="http://example.com/path/file.cgi?parameter" width=125 height=125 style="visibility: hidden"></iframe>

Obviously, I never added this code. When I contacted my hosting company, they said that it was not due to anyone taking over my account, but rather a vulnerability in the short URL script that allows iframe injection.

Der Kunde ließ uns FTP-Zugang, Zugang zum Control Panel des Web-Accounts und die FTP-Logdatei zukommen. Das Ergebnis war, dass es kaum möglich sein konnte, dass unser Script für das Problem verantwortlich war. Für das Ändern der Dateien wurde der FTP-Account des Kunden genutzt. Hätten die Hacker jedoch eine Lücke im Script benutzt, wäre die Aktivität in der Access-Log und nicht in der FTP-Log aufgetaucht. Das schrieben wir auch dem Kunden.

First of all you should change the passwords of all your FTP accounts and run a virus check on your computer. As the log file you've send me clearly states, someone used the FTP username "[gelöscht]" for downloading and uploading those files.

It is interesting that the webhosting people blame the script. The script doesn't know your FTP account. There is no way for anyone to get the script to tell them your FTP account (that I can see).

Even file inclusion - a popular hacking method - is not possible. The input from the form will be stored in the database. No inclusion of any file of the script depends on user input. Besides, if someone used the script to place that code on your server, it wouldn't show in the FTP log file. It would show in the access log file.

I've downloaded the access log files via your control panel. There is no unusual activity with the script around the time your server got hacked.

Also, the hackers didn't know what they were doing. While changing those files, they broke the script. But if they were able to know the script well enough to hack it, they wouldn't have broken it. They would have made sure that it continues to run smoothly so that nobody notices anything wrong. They would have hacked the HTML template files, not the PHP code files.

As far as I can see there are two possibilities here: Firstly, your webhosting company got hacked and someone stole a bunch of FTP accounts. Or secondly, someone installed a trojan horse or a keylogger on your computer and stole the FTP login this way.

I can't dismiss entirely the possibility, that the script got hacked. That wouldn't be the first time one of our scripts had a security hole. We always were able to find the bug and fix it within hours, but I can't see a connection between the hack and the Short URL script other than the script got changed during the hack.

If your webhosting company can provide evidence that our script is indeed the culprit, I'd happily use that evidence to fix the script.

If you have any questions, let me know.

Und hier die Antwort:

I contacted my hosting company again and sent them a copy of your e-mail. After further investigation they stated that your explanations are correct, and that the script is NOT at fault. We're still working out to determine the cause, however it was not the script. They were too quick to judge the script without first properly conducting an investigation in to the FTP logs, and I have made that complaint clear to them. I apologize for this and I thank you very much for your e-mail.

:-)

Ab und an kommen hier Anfragen von Leuten, die unsere Scripte ermäßigt oder gar kostenlos haben wollen. Das Gros kommt dabei von gemeinnützigen Vereinen, kirchlichen Organisationen, Studenten, Rentnern. Folgende Argumentation ist jedoch neu:

We want tobuy the software but can pay only usd 10/- for this script. All major softwares are offering almost 50 -60% discount now a days due to recession.

Aber selbst mit einer Absage gibt man sich nicht zufrieden:

Hello GentleSource,

we are requesting you for discount to make it USD 10 for the script

otherwise thank you.

Best Regards

Ist es tatsächlich so schwer zu verstehen, dass wir nicht wahllos Preisnachlässe gewähren?

Ein weiteres unserer Scripte ist nun in deutscher Sprache verfügbar.

Das Kommentar-Script, erlaubt den Besuchern einer Website , Kommentare auf einzelnen Seiten dieser Website zu hinterlassen. Die Kommentare werden auf den Seiten als aufsteigend oder absteigend sortierte Liste angezeigt. Die Sortierreihenfolge kann im Admin-Bereich festgelegt werden.

Das Kommentarformular enthält die Felder Name, E-Mail, Homepage, Betreff und Kommentar. Felder die Sie nicht verwenden möchten, können Sie auch löschen.

Um zu vermeiden, dass Ihre Website mit Werbung zugeschüttet wird, bietet das Script mehrere Anti-Spam-Funktionen, Akismet oder CAPTCHA. Sie können aber auch Wortlisten erstellen, auf deren Basis Inhalte gefiltert, blockiert oder für den Administrator zur Sichtung vorgelegt werden (Moderation).

Weitere Infos zum Kommentar-Script.

Wir haben eine Übersetzungsaktion für unsere Scripte gestartet. Ziel ist die Übersetzung der Sprachdateien, Script-Infos und Dokumentationen. Ein Teil der Scripte ist schon länger mehrsprachig verfügbar (Spanisch, Italienisch, Französisch, Schwedisch und das Voting-Script in Polnisch und Türkisch).

Gesucht sind Leute, die die Scripte in ihre Muttersprache übersetzen möchten. Im Gegenzug gewähren wir kostenlose Script-Lizenzen. Bislang haben wir Angebote aus Spanien, Italien und Jordanien (Arabisch) erhalten.

Generell nehmen wir jede Sprache, die kommt. Hauptaugenmerk liegt jedoch auf folgende Sprachen:

• Englisch (Korrekturlesen)
• French (Übersetzen und Korrekturlesen)
• Spanisch (Übersetzen und Korrekturlesen)
• Italienisch (Übersetzen und Korrekturlesen)
• Japanisch (Übersetzen und Korrekturlesen)
• Russisch (Übersetzen und Korrekturlesen)
• Hindi (Übersetzen und Korrekturlesen)
• Chinesisch (Übersetzen und Korrekturlesen)
• Arabisch (Übersetzen und Korrekturlesen)
• Polnisch (Übersetzen und Korrekturlesen)
• Holländisch (Übersetzen und Korrekturlesen)

Falls jemand Interesse hat, mitzumachen, unsere E-Mail lässt sich im Bereich Kontakt finden.

Wirklich neu ist das Script nicht, aber Script-Informationen und Dokumentation sind jetzt in deutscher Sprache verfügbar.

Der Link Manager erlaubt die Einrichtung und Verwaltung einer Link-Seite auf einer Website. Es können Gruppen erstellt und diesen Gruppen Links zuordnet werden. Farbe, Bezeichnung und Beschreibung sind sowohl für Gruppen als auch Links frei bestimmbar. Außerdem kann die Position jeder Gruppe und jedes Links bestimmt werden.

Hier ein Screenshot vom Admin-Bereich:

Weitere Infos zum Link Manager.

Als ich vor einigen Jahren anfing, stand die Frage, welchen Domain-Namen ich nutzen wollte. Nach kurzem Überlegen fiel die Wahl auf stadtaus.com. Das war der eigene Name und die Domain war verfügbar.

Um Werbung für die eigenen Scripte zu machen, enthielt jedes Script am Fuß der Seite einen Link. "Powered by STADTAUS.com" stand da immer. Speziell beim Galerie-Script schien das keine so gute Idee zu sein. Da ich keinen Einfluss darauf habe, wer meine Scripte nutzt, ließ sich das Script irgendwann auf Porno-Seiten finden - inklusive Link zu stadtaus.com. Noch unangenehmer war die Sache mit dem Formular-Script und dem Einsatz desselben auf einer betrügerischen Website. Und das Datei-Download-Script wurde auf einer Crack-Seite verwendet. Man ließt ungern seinen eigenen Namen in solchen Zusammenhängen.

Also musste eine neue Domain her. Letzte Woche ging gentlesource.de an den Start und bringt auch gleich zwei neue Scripte mit. Mit dem Wegwerf-E-Mail-Script lassen sich temporäre E-Mail-Konten erstellen und mit dem Kurz-URL-Script kann man lange URLs passend machen für Twitter und E-Mail.