T-Rex: Leerer Webserver sollte Daten enthalten

Moin,

ich hab einen neuen Kunden und lokale Änderungen für seine Webseite gemacht. Jetzt wollten wir diese über ftp hochladen. Es gibt auch viele ftp Nutzer, aber keiner scheint auf das richtige Verzeichnis zu gehen. Um genau zu sein handelt es sich um eine Shopware-Installation. Jetzt haben wir ca. 5 Verzeichnisse gefunden, welche eine Shopware-Installation enthält.

Um noch genauer zu sein haben wir uns mittels ftp auf den Webserver geschaltet, haben eine existierende (unbedeutende) Datei geändert und haben geschaut ob die Änderung über die Domain aufrufbar ist - war sie nie. Dann haben wir neue Dateien in die Verzeichnisse geschoben - die neue Datei konnte mittels Domain nie aufgerufen werden.

Wir haben im Webhosting eine Weiterleitung auf einen Dedicated Root Server gefunden bzw. gefunden haben wir die Weiterleitung nicht direkt, sowas scheint man in der Weboberfläche nicht zu sehen, wir vermuten es aufgrund der ip des Dedicated Root Server. Pingen wir die Domain an, erhält man die ip vom Dedicated Root Server. Auf diesem finden wir aber keinerlei Daten. Laut allgemeiner Übersicht sind ca. 50 GB belegt. Das könnte für Betriebssystem + Webinstallation reichen.

Leider sind uns die Ansätze ausgegangen das richtige Verzeichnis zu finden. Habt ihr vielleicht eine Idee, wie wir das richtige Verzeichnis finden?

Gruß Dedicat-rex

  1. Shopware-Installation

    Wenn ich diese Angaben sehe, dann ist meine Diagnose die folgende: "Der Zeitraum, bis wir das in einem Frage-Antwort-Spiel durchhaben, ist vorhersehbar länger als der, der benötigt wird, um das Root-Passwort mit brut-force zu knacken."

    Gib also einfach die IP raus. Nach dem brut-force brauch ich nur ein paar Minuten.

    Oder besorgt Euch jemanden, der an folgenden Kursen teilgenommen hat:

    • Linux Grundlagen (bitte mit Einführung in less)
    • Linux Administration Grundlagen
    • Netzwerk
    • Apache Webserver oder NGINX
    • Die hohe Kunst des Lesen von Konfigurationsdateien.
    1. Sorry, T-Rex, Ich nehme aber mal an, dass ich etwas übersäuert reagiert habe.

      Die konkrete Hilfe verbarg sich im letzten Punkt:

      • Die hohe Kunst des Lesen von Konfigurationsdateien.

      Deine Fragestellung bringt wirklich nichts auf den Tisch, worauf man sonst aufbauen könnte. Insofern kommt die berechtigte Vermutung auf, dass es an Grundwissen fehlt, deswegen „wild herumprobiert“ wird. Die Beschreibung zeugt nämlich genau das an.

      Und da kommen wir zu

      Shopware-Installation

      Das wilde Herumprobieren ist in solchen Fällen eine ganz schlechte Idee. Du würdest es ja auch nicht zulassen, dass jemand die Bremsen an Deinem Auto repariert, der das nicht gelernt hat, sich aber Filmchen bei Youtube zu dem Thema angesehen hat. Auch wenn der Facharbeiter Geld kostet.

      Hier gehts um Webshops und ich verstehe absolut nicht, warum da offensichtliche Nichtfachleute mangels Wissens stunden- bis tagelang daran herumprobieren wie einst die „Ärzte“ im Mittelalter an den Patienten, und damit die Existenz der Firma aufs Spiel gesetzt wird. Das, während sich andere - die Deine oder Eure Probleme in kurzer Zeit lösen könnten - wegen Corona vorübergehend einkommenslos, langweilen.

      Das Wissen könnte man erwerben, oder sich jemanden kaufen, der es schon hat. Und das ist, auch wenns „böse“ erscheint, der beste Rat, den ich Dir geben kann.

      1. Es geht ja nicht um das erstellen oder herum doktorn am Webshop. Mir kann niemand sagen wo eben dieser live Webshop installiert ist. Und genau da liegt das Problem. Wo soll ich meine Änderungen hochladen, wenn mir niemand das korrekte Verzeichnis sagen kann.

        Wie gesagt es gibt wohl einen "normalen" Webserver, der auf den dedicated root server weiter leitet. Wir finden die Weiterleitung aber nicht. Sind uns aber sicher, dass weiter geleitet wird. Der "normale" Webserver hat eine andere ip als der root server. Dessen Ip wird uns ausgegeben wenn man die Domain anpingt. Auf dem root Server liegen aber keine Daten zumindest sehen wir keine. Im Kundencenter gibt es eine Weboberfläche. Der normale Webserver hat einen web-ftp, dort kann man die Ordnerstruktur und Dateien sehen. Das hat der root Server nicht.

        Die Firma ist bei mittwald, falls das hilft.

        Ja du hast recht, try and error bei dem Thema bringt einen nicht weiter. Wenn du mir sagst, welche Informationen du brauchst um zu helfen, versuche ich sie dir zu geben.

        Gruß MitT-Rex

        1. Hallo T-Rex,

          Dessen Ip wird uns ausgegeben wenn man die Domain anpingt.

          Dann ist das aber doch keine Weiterleitung vom normalen Server an den Rootserver. Selbst dann, wenn der Apache auf dem Webserver als Proxy konfiguriert ist, sollte ein Ping die IP des "normalen" Servers liefern. Zumindest würde ich das mal so behaupten.

          Wenn der Ping die IP des Rootservers liefert, dann ist der DNS-Name auf diesen Server gemappt und alle Zugriffe gehen am "normalen" Webserver vorbei. Ihr braucht root-Access auf den root-Server.

          Rolf

          --
          sumpsi - posui - obstruxi
          1. Selbst dann, wenn der Apache auf dem Webserver als Proxy konfiguriert ist, sollte ein Ping die IP des "normalen" Servers liefern. Zumindest würde ich das mal so behaupten.

            Man kann auch das Gegenteil annehmen. Alles eine Frage der Konfiguration. Ich kenne es jedenfalls so, dass im DNS die IP des Reverse-Proxy konfiguriert wird und der eigentliche Server sodann in der Konfiguration des Proxys. In dem Fall zeigt ping die - via DNS - aufgelöste IP des Reverse-Proxys.

            Etwas anderes kann gelten, wenn man via Firewall auf einem Router die Zugriffe auf Ports 80, 443 zum Reverse-Proxys umleitet. Aber warum sollte man das so fürchterlich kompliziert machen?

        2. Die Firma ist bei mittwald, falls das hilft.

          Ich hab Internet, andere also auch…

  2. Hi,

    Leider sind uns die Ansätze ausgegangen das richtige Verzeichnis zu finden. Habt ihr vielleicht eine Idee, wie wir das richtige Verzeichnis finden?

    Den Support des Hosters befragen?

    cu,
    Andreas a/k/a MudGuard

    1. Hallo MudGuard,

      alternativ oder zusätzlich: denjenigen fragen, der die Website aufgesetzt hat? Dieser Jemand hat eine Verantwortung und sollte im Zweifel in Regress genommen werden können, wenn sie/er ein heilloses Chaos hinterlassen hat. Wenn's der Kunde natürlich selbst war...

      Privater Server ≠ professioneller Kundensupport!

      Es kann nicht im Interesse des Neukunden liegen, T-Rex für stundenlanges Reengineering des bestehenden Setup zu bezahlen.

      Es kann nicht im Interesse von T-Rex liegen, das Reengineering als Anbahnungskosten abzuschreiben.

      Es kann in niemandes Interesse liegen, einen Dritten, selbst wenn es Raketenjörg ist, mit der Axt dreinschlagen zu lassen um das Problem zu lösen. Und Jörg möchte auch leben, d.h. wenn das nicht per Script in 5 Minuten durch ist, muss er sich das honorieren lassen.

      Rolf

      --
      sumpsi - posui - obstruxi
      1. Also der Kundensupport sieht den dedicated server, aber sie sehen nicht was drauf liegt. Sie wollen auch nicht sehen was drauf liegt. Das würde nicht in ihre Zuständigkeit liegen. Verstehe ich auch ein Stück weit.

        Der Zuständige für den Server antwortet nicht. Es ist / war ein externer Mitarbeiter und dieser reagiert auf keine Mail oder Anruf. Natürlich kann man jetzt über rechtliche Aspekte diskutieren, würde mich aber bei meinem Problem nicht weiter bringen.

        Gruß T-Reengineerix

        1. Hallo T-Rex,

          du schriebst:

          Auf [dem Root Server] finden wir aber keinerlei Daten.

          Rootserver unterliegen der Verantwortung des Mieters, dass der Support da nicht draufschaut ist klar. Sie können es vermutlich, aber dafür werden sie bei einem Rootserver nicht bezahlt. Dafür hat der Mieter das Root-Passwort.

          Ihr greift mit FTP zu? Oder mit root-Account und ssh? Bei einem unprivilegierten FTP User kann es sein, dass dereinfach keine Leserechte auf den Shop hat.

          Was es mit den 5 Shopware-Installs auf dem anderen Server auf sich hat, ist dann auch noch ein Rätsel. Waren das Testinstallationen?

          Rolf

          --
          sumpsi - posui - obstruxi
            1. Der vorherige Entwickler war so nett und hat eine phpinfo() Datei angelegt. Diese Informationen haben wir also schon längst, die haben uns aber nur bedingt weiter geholfen.

              Wir konnten dadurch sehen in welchem Verzeichnis sich php befindet. Wir konnten es aber nicht auf dem Server finden - und das war ja die ganze Zeit das Problem.

              Netter weise hat uns der vorherige Entwickler endlich die Zugangsdaten zugeschickt. Wir haben jetzt vollen Root Zugriff und haben das Verzeichnis gefunden. Mir ist es immer noch ein Rätsel wieso man in der Weboberfläche, bei der wir als Admin eingeloggt sind, keine Verzeichnisse sieht.

              Wie auch immer, es ist gelöst.

              Gruß T-Roox

              1. Hallo T-Rex,

                Netterweise

                Hm. Das war seine verd***** Obliegenheit, die beim Gehen zu hinterlassen.

                Rolf

                --
                sumpsi - posui - obstruxi
                1. Hallo Rolf,

                  Netterweise

                  Hm. Das war seine verd***** Obliegenheit, die beim Gehen zu hinterlassen.

                  es soll auch Mieter geben, die das Schloss an der Wohnungstür austauschen, und dem Vermieter beim Auszug freundlich lächelnd die inzwischen nutzlosen Schlüssel zum ursprünglichen Schloss aushändigen.

                  Live long and pros healthy,
                   Martin

                  --
                  Home is where my beer is.
                  1. Aloha ;)

                    Netterweise

                    Hm. Das war seine verd***** Obliegenheit, die beim Gehen zu hinterlassen.

                    es soll auch Mieter geben, die das Schloss an der Wohnungstür austauschen, und dem Vermieter beim Auszug freundlich lächelnd die inzwischen nutzlosen Schlüssel zum ursprünglichen Schloss aushändigen.

                    Es soll auch Vermieter geben, die dir als Mieter nicht alle Schlüssel zur Wohnungstür geben, sondern ... "für Notfälle" ... noch selbst ein Exemplar behalten - egal wie illegal das ist.

                    Insofern kann ich sogar sehr gut verstehen, dass manche (ich gehöre nicht dazu, mir ist es zu egal, obwohl ich auch betroffen bin) als erste Amtshandlung das Wohnungstürschloss wechseln lassen.

                    Wobei ich dann beim Ausziehen wieder umbauen würde - erstens würde ich nicht riskieren wollen, den erneuten Schlosstausch in Rechnung gestellt zu bekommen, zweitens würde ich ja "mein" Schloss dann vielleicht in meiner neuen Wohnung dem selben Zweck zuführen wollen 😀

                    Um den Bogen wieder zurück zum eigentlichen Thema zu schlagen: Ja, es war wirklich seine Obliegenheit. Ich bin immer wieder erstaunt, wie oft Leute Dinge, die ihre Obliegenheit wären, nicht tun, und wie erstaunlich oft sie damit sogar noch durchkommen.

                    Grüße,

                    RIDER

                    --
                    Camping_RIDER a.k.a. Riders Flame a.k.a. Janosch Zoller
                    # Twitter # Steam # YouTube # Self-Wiki # Selfcode: sh:) fo:) ch:| rl:) br:^ n4:? ie:% mo:| va:) js:) de:> zu:} fl:( ss:) ls:[
                    1. Hallo Janosch,

                      es soll auch Mieter geben, die das Schloss an der Wohnungstür austauschen, und dem Vermieter beim Auszug freundlich lächelnd die inzwischen nutzlosen Schlüssel zum ursprünglichen Schloss aushändigen.

                      Es soll auch Vermieter geben, die dir als Mieter nicht alle Schlüssel zur Wohnungstür geben, sondern ... "für Notfälle" ... noch selbst ein Exemplar behalten - egal wie illegal das ist.

                      ja, so einen Vermieter hatte ich bis vor gut zwei Jahren auch noch. Der hat sogar auf direkte Nachfrage abgestritten, dass er noch einen Drittschlüssel hatte.
                      Und ich kann mich an zwei Fälle erinnern, wo ich den Eindruck hatte, da sei jemand in meiner Wohnung gewesen - aber ich konnte es natürlich nicht beweisen.

                      Insofern kann ich sogar sehr gut verstehen, dass manche (ich gehöre nicht dazu, mir ist es zu egal, obwohl ich auch betroffen bin) als erste Amtshandlung das Wohnungstürschloss wechseln lassen.

                      Naja, ich kann jetzt nicht abschätzen, ob man als Mieter das Recht dazu hat. Immerhin endet dein Zuständigkeitsbereich als Mieter ja quasi an der Außenseite der Wohnungstür.
                      Also innen eine Kette anbringen ist sicher okay. Aber schon das Durchbohren der Wohnungstür, um einen Türspion anzubringen, bedarf der Zustimmung des Eigentümers.

                      Wobei ich dann beim Ausziehen wieder umbauen würde

                      Ja, dann wäre das nach meinem Rechtsempfinden auch okay.

                      Live long and pros healthy,
                       Martin

                      --
                      Home is where my beer is.
                      1. Aloha ;)

                        Naja, ich kann jetzt nicht abschätzen, ob man als Mieter das Recht dazu hat.

                        Advocard sagt ja. Und führt auch einen weiteren wichtigen Grund an: Der Vormieter könnte ja noch einen unangemeldet nachgemachten weiteren Schlüssel besitzen. Hab ich mir noch nie Gedanken drum gemacht, ist aber tatsächlich tendenziell sehr problematisch.

                        Immerhin endet dein Zuständigkeitsbereich als Mieter ja quasi an der Außenseite der Wohnungstür.

                        Richtig. Das Schloss ist aber technisch gesehen noch nicht draußen, sondern wenige Millimeter vor "draußen" 😜

                        Aber schon das Durchbohren der Wohnungstür, um einen Türspion anzubringen, bedarf der Zustimmung des Eigentümers.

                        Nu, das liegt aber vermutlich eher an der Irreversibilität des Bohrlochs.

                        Grüße,

                        RIDER

                        --
                        Camping_RIDER a.k.a. Riders Flame a.k.a. Janosch Zoller
                        # Twitter # Steam # YouTube # Self-Wiki # Selfcode: sh:) fo:) ch:| rl:) br:^ n4:? ie:% mo:| va:) js:) de:> zu:} fl:( ss:) ls:[
                2. Hm. Das war seine verd***** Obliegenheit, die beim Gehen zu hinterlassen.

                  Sehe ich nicht so. Ich gebe grundsätzlich auch keine Zugangsdaten heraus, schon gar nicht an Dritte. Ich kenne aber auch die Praxis und weiß, dass viele Kund*innen nicht wissen, wo sie Zugangsdaten auffinden/vergeben können. In solchen Fällen würde ich ein Passwort auf Anfrage aber nur an die Kundin persönlich senden. Der kann das Passwort dann ja weiterleiten.

                  1. Hallo 1unitedpower,

                    Sehe ich nicht so. Ich gebe grundsätzlich auch keine Zugangsdaten heraus

                    Wie jetzt? Du machst ein Projekt, beendest die Arbeit daran, gehst weg und übergibst die Zugangsdaten zum Server nicht an den Auftraggeber?

                    Und wie soll der seinen Server weiterbetreiben?

                    Es ist was anderes, wenn Du weiterhin verfügbar bist und Support für die Funktionsfähigkeit des Systems leistest. Dann ist das Zurückhalten der Zugangsdaten eine Art Lebensversicherung gegen ungeschickte Grabbelfinger auf Auftraggeberseite. Aber auch dann muss es einen Fallback geben, du könntest ja über die Bordsteinkante stolpern und Dir die Haarspitzen brechen. Single Points of Failure muss man dringend vermeiden, High Availability gilt nicht nur für's Silizium unter dem Blech, sondern auch und vor allem für die Bio-Engine vor der Tastatur.

                    Im Fall von T-Rex habe ich das jedenfalls so verstanden, dass der ursprüngliche Entwickler nicht mehr für den Auftraggeber gearbeitet hat und darum auch keine Garantien mehr zu leisten hatte.

                    Rolf

                    --
                    sumpsi - posui - obstruxi
                    1. Hallo 1unitedpower,

                      Sehe ich nicht so. Ich gebe grundsätzlich auch keine Zugangsdaten heraus

                      Wie jetzt? Du machst ein Projekt, beendest die Arbeit daran, gehst weg und übergibst die Zugangsdaten zum Server nicht an den Auftraggeber?

                      Wenn ich Zugangsdaten im Auftrag eines Kunden erzeuge, zum Beispiel weil ich ein Hosting-Paket buche, dann erhält sie natürlich unmittelbar die Zugangsdaten, aber niemand sonst. Für mich las sich T-Rex' Posting so, als habe sein Vorgänger sensible Daten direkt an die Nachfolger-Agentur herausgegeben. Das würde ich nicht machen.

                      1. Nein es war so, dass es einen externen Entwickler gab. Dem wurde Zugang zum Server gewährt - anscheinend mit dem root Passwort.

                        Der Entwickler ist weg und die Firma hat vergessen wie das root Passwort ist bzw. hatten sie gar keine Zugangsdaten mehr. Eine direkte Schuld bei dem externen Entwickler sehe ich nicht. Eine Übergabe wäre jedoch wunderbar gewesen. Ich wurschtel mich gerade selbst durch die Datenbanken, css etc... und das macht nicht gerade viel Spaß. Vor allem habe ich das Gefühl, dass sehr viel mit "hauptsache es läuft" erledigt wurde.

                        Gruß der WurschTel-Rex

                        1. Nein es war so, dass es einen externen Entwickler gab. Dem wurde Zugang zum Server gewährt - anscheinend mit dem root Passwort.

                          Der Entwickler ist weg und die Firma hat vergessen wie das root Passwort ist bzw. hatten sie gar keine Zugangsdaten mehr. Eine direkte Schuld bei dem externen Entwickler sehe ich nicht. Eine Übergabe wäre jedoch wunderbar gewesen.

                          Ich sehe da auch keine indirekte Schuld beim Entwickler. In dem Fall bewerte ich das einfach als nettes Entgegenkommen. Ich hätte wohl den Kunden gebeten beim Hoster ein neues Passwort anzufragen.

                          Ich wurschtel mich gerade selbst durch die Datenbanken, css etc... und das macht nicht gerade viel Spaß. Vor allem habe ich das Gefühl, dass sehr viel mit "hauptsache es läuft" erledigt wurde.

                          I feel you.

              2. Hallo,

                Mir ist es immer noch ein Rätsel wieso man in der Weboberfläche, bei der wir als Admin eingeloggt sind, keine Verzeichnisse sieht.

                Wie auch immer, es ist gelöst.

                mit solchen immer noch offenen Fragen wäre das für mich nicht gelöst.

                T-Roox

                Immer wieder amüsant! 😀

                Live long and pros healthy,
                 Martin

                --
                Home is where my beer is.
              3. Netter weise hat uns der vorherige Entwickler endlich die Zugangsdaten zugeschickt.

                🧐 Du willst mir mitteilen, dass der vorherige Entwickler Root-Zugriff hat, Du oder Dein Kunde aber nicht?

                1. Hi,

                  Netter weise hat uns der vorherige Entwickler endlich die Zugangsdaten zugeschickt.

                  🧐 Du willst mir mitteilen, dass der vorherige Entwickler Root-Zugriff hat

                  zumindest hatte - ich will mal hoffen, sie haben die Zugangsdaten schnellstmöglich geändert.

                  Du oder Dein Kunde aber nicht?

                  Genua. ;-)

                  Live long and pros healthy,
                   Martin

                  --
                  Home is where my beer is.
                  1. ich will mal hoffen, sie haben die Zugangsdaten schnellstmöglich geändert.

                    Das reicht nicht. Bei weitem nicht.

                    Aber was kann denn schon passieren? …

                    1. Hi there,

                      ich will mal hoffen, sie haben die Zugangsdaten schnellstmöglich geändert.

                      Das reicht nicht. Bei weitem nicht.

                      Naja, zu Tode gefürchtet ist auch gestorben.

                      Aber was kann denn schon passieren? …

                      Da steht aber nix von nicht funktionierenden geänderten Zugangsdaten...

                      1. Hallo,

                        Hi there,

                        ich will mal hoffen, sie haben die Zugangsdaten schnellstmöglich geändert.

                        Das reicht nicht. Bei weitem nicht.

                        Naja, zu Tode gefürchtet ist auch gestorben.

                        nun, der gefrustete Ex-Entwickler könnte eine Backdoor eingebaut haben. Oder zusätzliche privilegierte Benutzer angelegt, von denen der Inhaber nichts weiß. Nicht gerade wahrscheinlich, aber möglich.

                        Live long and pros healthy,
                         Martin

                        --
                        Home is where my beer is.
                        1. Hi there,

                          ich will mal hoffen, sie haben die Zugangsdaten schnellstmöglich geändert.

                          Das reicht nicht. Bei weitem nicht.

                          Naja, zu Tode gefürchtet ist auch gestorben.

                          nun, der gefrustete Ex-Entwickler könnte eine Backdoor eingebaut haben. Oder zusätzliche privilegierte Benutzer angelegt, von denen der Inhaber nichts weiß. Nicht gerade wahrscheinlich, aber möglich.

                          Man kann alles übertreiben. Man kann auch den Rechner, an dem der vorige Entwickler gearbeitet hat, desinfizieren. Von mir aus auch seinen Sessel. Mir jedenfalls wäre das für einen depperten Webshop zuviel Aufwand...

                          1. Moin.

                            nun, der gefrustete Ex-Entwickler könnte eine Backdoor eingebaut haben.

                            Oder auch nur einen ssh-key hinterlegt haben… der nach Wechsel des Passworts noch prima funktioniert.

                            Man kann alles übertreiben.

                            Wieviele % aller Hacks stammen doch gleich von (Ex-)Mitarbeitern?

                            Mir jedenfalls wäre das für einen depperten Webshop zuviel Aufwand…

                            -1

                            Am „depperten Webshop“ hängt oft die Existenz. Und wenn fahrlässig Kundendaten „in die Wildbahn“ geraten kommt zum Umsatz- und Ansehensschaden und den Kosten für den Kundendienst oft noch das Bußgeld vom LDSB.

                          2. Aktuell ist es noch so. Die paar Bestellungen die über den Webshop reinkommen sind nicht der Rede wert. Das soll ja geändert werden.

                            Ja hmm... Passwörter wurden noch nicht geändert. Es gibt einen Admin dafür, der scheint es nicht so eng zu sehen. Ich habe meine Empfehlung abgegeben die Passwörter zu tauschen. In wie weit die Firma das annimmt ist eine andere Frage.

                            Je mehr ich mir hier einen überblick verschaffe, desto mehr muss ich leider feststellen, dass die Passwörter wohl das kleinste übel wahren. Es ist einfach alles in einem inakzeptablen chaotischen Zustand. Die nächsten Tage werde ich wohl noch einige Threads eröffnen seufz.

                            Gruß Passierschein A38 Sucher T-Rex

                2. Servus!

                  Netter weise hat uns der vorherige Entwickler endlich die Zugangsdaten zugeschickt.

                  🧐 Du willst mir mitteilen, dass der vorherige Entwickler Root-Zugriff hat, Du oder Dein Kunde aber nicht?

                  Das war in einem Forum für Schul-Homepages eine Standardfrage: „Wir haben eine Homepage, keiner kennt aber mehr das Passwort! Was können wir tun?“

                  Mittlerweile ist es besser geworden und desalb ist das Forum dort tot! 😉

                  Herzliche Grüße

                  Matthias Scharwies

                  --
                  Ήταν διασκεδαστικό όσο κράτησε.
                  Χρύσιππος ὁ Σολεύς, 220 π.Χ.