Hallo Rolf,

Ich weis jetzt nicht genau was hier passiert ist, schauts Euch mal an:
http://www.cgi-s.from.de/pinboard.html
... ein mögliches Beispiel?

Ich habe zwar nicht ganz kapiert, worum es da jetzt genau geht, denn den beiden Messages, die ich dort fand, konnbte ich nicht viel entnehmen, ausser dass es irgendwelche Probleme mit dem Forum gibt, die wahrscheinlich darauf beruhen, dass ein JavaScript beim Beenden einer Seite zuvor verschickte Formulardaten noch mal sendet. Und von jemandem, der sich "Fakeman" nennt, kann man wohl kaum Ernsthaftes erwarten (in den letzten Tagen hatte ich auch mit ein paar wirklich netten Zeitgenossen zu tun per Mail - fiese kleine Huendchen pinkeln halt mit Vorliebe gegen Beine).
Im Internet aufrufbare CGI-Scripts kann man jedenfalls genauso schwer oder leicht manipulieren wie HTML-Seiten oder Grafiken. In allen Faellen muss man sich irgendwie Zugang zu dem Server verschaffen, und zwar so, dass man dort an Dateien und Verzeichnisse rankommt. Dazu muss man entweder Passwoerter fuer FTP, Telnet usw. knacken oder irgendeine andere Sicherheitsluecke auf dem Server nutzen, etwa ein "windiges" High-Level-Protokoll fuer Internet-Verbindungen. Leichter ist es fuer Leute, die an Routing-Tabellen und dergleichen rankommen. Da kann man dann z.B. nette Umleitungen einrichten. Na, und echte Hacker kennen sicher noch mehr Sachen zwischen Himmel und Erde als ich mit meinem Laienverstand <g>.
Aber wenn wirklich jemand direkt in den Server eingedrungen waere, wo das oben genannte Forums-Script liegt, haette er aber vermutlich noch viel mehr sichtbaren Schaden angerichtet.

viele Gruesse
  Stefan Muenz

Hallo,

seit einiger Zeit mach ich mir Gedanken zur Sicherheit im Zusammenhang mit CGI und ich möchte hier die Frage einfach mal so stellen:

Hat jemand Erfahrungen mit diesem Thema gemacht, ja ist jemand schon einmal mit diesen Dingen auf die Nase gefallen... so dass etwa Seiten gehackt oder Verzeichnisse gelöscht wurden oder einfach Seiten gezeigt wurden, die nicht jeder sehen sollte (die vielzitierte Gehaltsliste etwa im Intranet)?

Ich weis jetzt nicht genau was hier passiert ist, schauts Euch mal an:
http://www.cgi-s.from.de/pinboard.html
... ein mögliches Beispiel?

Es ist tatsächlich so, hier waren Hacker am Werk.

http://www.cgi-s.from.de/ hier der kompl. Frame.

Meine Fragen sind jedoch immer noch offen... hat jemand Erfahrungen mit Ähnlichem?

Viele Grüße, Rolf

Hi,

wer sich mit einem Script auskennt, ist klar im Vorteil, wenn es um Umgehung der Sicherheitsmaßnahmen geht. Hier ist es wohl in der Tat so, daß der Hacker Zugriff auf das Admin-Tool genommen hat. Jedenfalls erscheint mir das am plausibelsten...

Viel gravierender ist es IMHO, wenn Zugriff auf *unbekannte* (selbstprogrammierte) Scripts genommen werden kann. Ein Freund von mir, der den selben Provider hat(te) wie ich, hat einmal versucht, sein Script über den Secure(!)-Server zu starten. Ergebnis: Er sah den Quelltext seines Scripts! Kurz darauf bekam ich eine 80-Kilobyte-Mail von ihm, die mein Linklisten-Script enthielt... Der Provider hat mittlerweile die Konfiguration korrigiert.

Weitere mir bekannte Lücke: Viele Provider haben in ihren Accounts in einem vorgegebenen Verzeichnis ein Tool zur .htaccess-Einrichtung. Dieses Tool ist nicht passwortgeschützt! Ich habe selbst bei einem befreundeten Anbieter mir ein Passwort für einen geschützten Bereich erstellt und ihm den Inhalt einer geschützten HTML-Seite gemailt. Er hat es daraufhin genauso gemacht wie ich und das Tool-Verzeichnis umbenannt...

Fazit: Wenn man weiß wie, kann man viel Unsinn betreiben!

Cheatah