Hi

Richtig konfigurierte Webserver lassen alle Skripten *NUR*
unter der jeweiligen Kennung des jeweiligen Benutzers laufen!

ähm, habe ich etwas anderes gesagt?

Ich hab's so verstanden als ob du meintest, der Webserveruser != User fuehrte die Skripten aus.

1. Ein andere Benutzer auf dem Webserver hat gesehen, dass du
   jedermann durch chmod 777 alle Rechte gegeben hast.

Wie dies?

"ls -la" ?

Oder ein "find / > /allowdirs 2>&1 > notalloweddirs"

Und da du so freimuetig warst, hat er das dann genutzt.
Und dies war dann noch nichtmal strafbar! Denn schliesslich hast
du allen Benutzern die Erlaubnis dazu gegeben, indem du selbst
allen Benutzern das Recht gabst.

Jau. Auf dem Webserver ist jeder Benutzer der Webserver.

Oeh..

So könnte man es sagen.. Ist aber etwas verwirrend zu sagen.
Weil eigentlich stimmt es nicht.
Man ist im hoechsten Fall ein Webserver-Child wenn es ein CGI ausfuehrt.

2. Jemand ausserhalb des Servers war das.

Also auf dem Rechner.

Server != Webserver.

Ich bin von irgendwo aus dem Web/Internet.

Dieser Jemand wird nur dann da Dateien hochladen koennen, wenn es ein Skript von dir gab, welches es erlaubt,

Häh? Das Script wäre Teil des Servers (bzw. würde "als Server" ausgeführt werden). Wenn man außerhalb des Servers agiert, braucht man kein Server-Script mehr.

Der Typ hat die Rechte noch garnicht.
Wie geht er vor um sie zu bekommen: Er testet oder schaut welche bekannten Skripte mit Exploids auf der Webdomain installiert sind.

Nachdem er ein unsicheres Skript gefunden hat, wird dies ausgenutzt, d.h. er bekommt Zugriff auf den Userbereich, weil er Kommandos mit Hilfe des Skriptes als User ausfuehren kann.

Ciao,
  Wolfgang