Hi,

wer sich mit einem Script auskennt, ist klar im Vorteil, wenn es um Umgehung der Sicherheitsmaßnahmen geht. Hier ist es wohl in der Tat so, daß der Hacker Zugriff auf das Admin-Tool genommen hat. Jedenfalls erscheint mir das am plausibelsten...

Viel gravierender ist es IMHO, wenn Zugriff auf *unbekannte* (selbstprogrammierte) Scripts genommen werden kann. Ein Freund von mir, der den selben Provider hat(te) wie ich, hat einmal versucht, sein Script über den Secure(!)-Server zu starten. Ergebnis: Er sah den Quelltext seines Scripts! Kurz darauf bekam ich eine 80-Kilobyte-Mail von ihm, die mein Linklisten-Script enthielt... Der Provider hat mittlerweile die Konfiguration korrigiert.

Weitere mir bekannte Lücke: Viele Provider haben in ihren Accounts in einem vorgegebenen Verzeichnis ein Tool zur .htaccess-Einrichtung. Dieses Tool ist nicht passwortgeschützt! Ich habe selbst bei einem befreundeten Anbieter mir ein Passwort für einen geschützten Bereich erstellt und ihm den Inhalt einer geschützten HTML-Seite gemailt. Er hat es daraufhin genauso gemacht wie ich und das Tool-Verzeichnis umbenannt...

Fazit: Wenn man weiß wie, kann man viel Unsinn betreiben!

Cheatah