nicht angemeldet
versehentlich Server gecrackt...
Hallo Ihr alle,
nehmt es mir nicht übel, daß ich diesmal lieber anonym bleiben will! Mein Problem ist nämlich folgendes: Da ich auch ohne ftp-Programm Zugriff auf eine Internetpräsens haben wollte (um z.B. bei Freunden, im Urlaub... kleinere Fehler berichtigen zu können), habe ich mir mittels serverseitigem Skript einen primitiven Dateimanager und Editor gebastelt. Als ich die Seiten dann auf dem Server ausprobiert habe, stellte ich fest, daß sich damit nicht nur das eigene Verzeichnis durchsuchen (und editieren!) läßt, sondern - wie es scheint, ich habe mich über die Masse gewundert, kann das überhaupt sein? - ca. 12000 andere (etwas unter 50 Verzeichnisse mit je etwa 250 Unterverzeichnissen, wie dem, von dem ich ausgegangen bin, ich habe dann aber nicht reingeschaut...).
Was mach ich jetzt - einfach vergessen, Skript etwas abändern, oder dem Provider mitteilen oder wem?
Grüße
-
Hallo,
wenngleich ich die Begründung mit den freunden etwas seltsam finde (warum geben sie Dir nicht die ZUgangsdaten wenn Du ZUgang haben sollst?), würde ich das eher als Zufalls deklarieren. Strafmäßig verfolgt werden dürfte meiner Meinung nach nur eine beabsichtigter Zugang zu besondern geschützen Systemen. Wenn Dein provider seine Server so mies konfiguriert kannst Du ja nichts dafür. Nur solltest Du Dir genau überlegen wie Du es darstellst, dass der Zufall auch glaubhaft ist.
Grüße aus Würzburg
Julian-
Hallo,
wenngleich ich die Begründung mit den freunden etwas seltsam finde (warum geben sie Dir nicht die ZUgangsdaten wenn Du ZUgang haben sollst?),
Es ging darum, Zugang von Systemen zu bekommen, auf denen kein ftp-Programm installiert ist, bzw. vor Allem, die Dateien erst gar nicht runter und wieder hoch laden zu müssen, sondern direkt editieren zu können.
würde ich das eher als Zufalls deklarieren. Strafmäßig verfolgt werden dürfte meiner Meinung nach nur eine beabsichtigter Zugang zu besondern geschützen Systemen. Wenn Dein provider seine Server so mies konfiguriert kannst Du ja nichts dafür.
Trotzdem: Schweigen und vergessen oder auf Sicherheitslücke hinweisen (und ich weis ja nicht mal, ob die sich sinnvoll stopfen läßt)?
Gruß
-
Hoi,
Trotzdem: Schweigen und vergessen oder auf Sicherheitslücke hinweisen
Hinweisen, IMHO. Du willst ja auch, dass der Server, auf dem *deine* Daten liegen,
sicher ist, oder?(und ich weis ja nicht mal, ob die sich sinnvoll stopfen läßt)?
Klar laesst sie sich. Durch entsprechende CGI-Wrapper und/oder eine vernuenftige
Verteilung der Rechte und Gruppenzugehoerigkeiten.Gruesse,
c.j.k-
Klar laesst sie sich. Durch entsprechende CGI-Wrapper und/oder eine vernuenftige
Verteilung der Rechte und Gruppenzugehoerigkeiten.Nein, nicht in jedem Fall. Eine beliebte Kombination aus Unix/Linux, Apache 1.3.x und suExec läßt sich beispielsweise nur begrenzt absichern. Ab einer gewissen Anzahl von Usern setzt das System der Sicherheit Grenzen. Oder suExec. Je nachdem, wie man es betrachtet.
Beispiel:
Jede Kundendomain ist als eigener Virtual Host mit eigener Userid und Gruppenid eingerichtet. Alle Dateien und Skripte in diesem Webspace gehören dem User und sind für 'others' nicht lesbar/beschreibbar/ausführbar. Skripte laufen mit der Userid und Gruppenid des Kunden. Auf statische Dateien greift der Apache mit seiner Userid zu.
Damit er das darf, muss er Mitglied der Gruppe des Kunden sein.
Ein User unter Unix/Linux darf standardmäßig - sofern der Kernel nicht anders kompiliert wurde - maximal in acht/sechzehn/zweiunddreizig (je nach System) Gruppen Mitglied sein.Darüber hinaus, kann entweder der Apache nicht mehr auf statische Dateien zugreifen oder die Gruppenzugehörigkeiten und/oder Rechte müssen anders verteilt werden und sind dann nicht mehr sicher.
Ein Apache unter root waere dann die DAU-Lösung für dieses Problem.Gruß,
Kess-
Hoi Kess,
schoen, dich mal wieder zu lesen ;-)
Klar laesst sie sich. Durch entsprechende CGI-Wrapper und/oder
eine vernuenftige Verteilung der Rechte und
Gruppenzugehoerigkeiten.Nein, nicht in jedem Fall. Eine beliebte Kombination aus
Unix/Linux, Apache 1.3.x und suExec läßt sich beispielsweise nur
begrenzt absichern.Nein, nicht wirklich.
Beispiel:
Jede Kundendomain ist als eigener Virtual Host mit eigener Userid
und Gruppenid eingerichtet. Alle Dateien und Skripte in diesem
Webspace gehören dem User und sind für 'others' nicht
lesbar/beschreibbar/ausführbar. Skripte laufen mit der Userid und
Gruppenid des Kunden. Auf statische Dateien greift der Apache mit
seiner Userid zu.Genau.
Damit er das darf, muss er Mitglied der Gruppe des Kunden sein.
Richtig.
Ein User unter Unix/Linux darf standardmäßig - sofern der Kernel
nicht anders kompiliert wurde - maximal in
acht/sechzehn/zweiunddreizig (je nach System) Gruppen Mitglied
sein.Du sagst es: sofern der Kernel nicht angepasst wurde :-) Anderseits
ist das auch nur eine der Moeglichkeiten. Eine andere waere eine
Art 'jail' wie bei FreeBSD oder eine gepatchte Script-Sprache, die
den Config-Eintrag 'openbasedir' von PHP implementiert.Gruesse,
c.j.k
-
-
-
-
-
hi,
Was mach ich jetzt - einfach vergessen, Skript etwas abändern, oder dem Provider mitteilen oder wem?
das letzte, als Kurzmitteilung an den Provider. Es kommt allerdings drauf an, was für ein "Script" das war. Wenn du es per FTP hochgeladen hast und dann so etwas passiert ist,hat der Provider seinen Server nicht im Griff.
Ich kann bei einigen Providern (nein, ich sag nicht, welche) teilweise vollkommen ohne "Script" bis in die httpd.conf hineinschauen ... da herrscht eine bisweilen beinahe fahrlässige Sorglosigkeit, was die möglichen Sicherheitseinstellungen angeht.Grüße aus Berlin
Christoph S.
PS: es ehrt dich, wenn dir dieses "Problem" Kopfzerbrechen bereitet und man dich so verstehen darf, daß du eine "Sicherheitslücke" nicht ausnutzen, sondern eher stopfen helfen willst
-
Was mach ich jetzt - einfach vergessen, Skript etwas abändern, oder dem Provider mitteilen oder wem?
Ich würde das so machen:
Zuerst ein neues Skript bauen, mit dem sich feststellen läßt, mit welchen Rechten es ausgeführt wird. Da Du alle Dateien damit bearbeiten kannst, wird das wahrscheinlich root sein. Wenn dem so ist, dann lösche Deine anderen Skripte und weise den Serverbetreiber darauf hin, daß Skripte als root ausgefühert werden und jemand auf diese Weise die Daten von anderen verändern könnte ;-)
Falls es aber daran liegt, daß jede erzeugte Datei für alle schreibbar ist, dann weise den Betreiber darauf hin, damit der die Einstellung ändern kann.