Webhoster Sicherheitslücke - Root-Zugriff ?

#0
08.02.2008, 13:25
...neu hier

Beiträge: 3
#1 Hallo !

Ich habe eine kleine Frage an die Spezialisten hier im Forum:

Ich habe mehrere Domains bei einem grösseren deutschen Webhoster zu laufen.
Vor einiger Zeit habe ich auf meinem Webspace ein PHP-Script installiert, welches mir es ermöglicht, von unterwegs (Internet-Cafe) per Browser Dateien zu erstellen, zu bearbeiten, e.t.c. .

Das Script zeigt mir unter Anderem den absoluten Serverpfad zu meiner Domain an.

Beispiel: /homexxxxxx/275/dxxxxxxxx/htdocs/script/

Durch Zufall habe ich nun herausgefunden, das ich, wenn ich den Pfad kürze, vollen Zugriff auf das Server-Hauptverzeichniss habe.

Ich kann u.a. eMail-Adressen anderer Kunden einsehen, Benutzernamen, ich kann Dateien kopieren, neue Dateien erstellen u.sw. .

Ich habe meinen Provider jetzt schon mehrfach darüber informiert, per Telefon, Mail an Abuse u.s.w....

Aber es passiert nichts, niemand scheint sich darum zu kümmern...

Ich verstehe nicht wirklich viel von Servern und deren Konfiguration, aber dies scheint doch eine Sicherheitslücke zu sein, oder ?

Normalerweise sollte ich doch nicht aus meinem "htdocs"-Verzeichniss rauskommen..... Und wenn, dann sollte ich wenigstens keine Rechte zum Erstellen und Editieren von Daten haben....

Vielleicht wisst ihr ja einen (kompetenten) Ansprechpartner, der sich mal um dieses Problem kümmert.... Danke !

P.S.: Ich habe auf dem Server nichts verändert und werde dies auch nicht tun....


Gruss
Motte

Anhang: 04.jpg
Seitenanfang Seitenende
08.02.2008, 13:50
Member
Avatar Xeper

Beiträge: 5285
#2 Jo ist traurig ;)
Auf root allg. Zugriff zu haben ist nicht so das Problem aber das man auch auf Kundendaten Zugriff hat *kopfschüttel*

Naja bei solchen Firmen arbeiten eh nur zu 90% naps also ob du da jemals etwas Kompetentes auf 2 Beinen triffs is fraglich.
Sagen wir mal so wenn ich eins gelernt hab dann die Gleichung, je größer die Firma desto größer das Chaos ;)

Zitat

Normalerweise sollte ich doch nicht aus meinem "htdocs"-Verzeichniss rauskommen..... Und wenn, dann sollte ich wenigstens keine Rechte zum Erstellen und Editieren von Daten haben....
Naja das Problem scheint wohl zu sein das man PHP nicht ordentlich abgesicher hat und automatisch unter den selben Rechten wie der Webserver arbeitet.
__________
Email/XMPP: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
08.02.2008, 17:50
Member

Beiträge: 1516
#3 Vielleicht Interessiert das den Datenschutzbeauftragten der Landesbehörde.
Also einfach mal nach Bundesland+ Datenschutzbeauftragten googeln.

Die Heise Redaktion kann vielleicht auch Druck machen.
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}
Seitenanfang Seitenende
08.02.2008, 23:27
...neu hier

Themenstarter

Beiträge: 3
#4 Hallo Xeper und Spunki,

danke erstmal für euere Infos und Tips...

Ich denke, ich werde mich mal an die Heise-Jungs wenden, kann nicht schaden....

Gruss
Motte
Seitenanfang Seitenende
15.02.2008, 23:03
...neu hier

Themenstarter

Beiträge: 3
#5 Hallo !

Mail an einen der Redakteure von Heise.de ist am 09.02. raus - keine Antwort bis heute...

Telefonat am 09.02. mit dem nach eigenen Aussagen "Chef der Sicherheitsabteilung bei 1und1", Herr Werner.

Seine Aussage - wir kümmern uns darum ! "

Passiert ist bis jetzt gar nichts - ich habe immer noch Zugriff auf eMail-Adressen anderer Kunden, habe volle Rechte in diversen Ordnern des Root-Verzeichnisses...

Tja, was solls...

Gruss
Motte
Seitenanfang Seitenende
18.02.2008, 14:41
Member

Beiträge: 214
#6 Wem hast Du bei Heise geschrieben?

Versuch's mal bei Marko Rogge, der wird sich vielleicht dafür interessieren...

http://www.marko-rogge.de/index1.html
__________
the power to serve
Seitenanfang Seitenende
02.03.2008, 16:27
...neu hier

Beiträge: 1
#7 Ist eigentlich ein klassischer Fehler:

- PHP opendir restriktion vergessen
- den Kunden jailen/chrooten

Sieht man eigentlich eher bei Wohnzimmer/Hobbyprovider mit wenig technischen Wissen - wundert mich eher das so ein großer wie 1&1 sowas nicht drauf hat.


An deiner Stelle würde ich ganz schnell von denen verschwinden, möglich ist nämlich auch das ein anderer auf die Idee kommt und deine Dateien einsieht/löscht oder verändert
Seitenanfang Seitenende
04.03.2008, 17:13
Member
Avatar Gool

Beiträge: 4730
#8 Oder "aus Versehen" eine Einstellung ändern, die dazu führt, dass nichts mehr geht, wodurch 1&1 definitiv zum Handeln gezwungen wird. Nachteil könnte sein, dass die ggf. versuchen, Dir den schwarzen Peter in die Schuhe zu schieben. Andererseits dürfte selbst ein fehlerhaft programmiertes Script nicht in der Lage sein, Veränderungen außerhalb Deines Quotas durchzuführen.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: