Webhoster Sicherheitslücke - Root-Zugriff ? |
||
|---|---|---|
| #0
| ||
|
08.02.2008, 13:25
...neu hier
Beiträge: 3 |
||
 
|
|
|
|
08.02.2008, 13:50
Member
 Beiträge: 5291 |
#2
Jo ist traurig
 Auf root allg. Zugriff zu haben ist nicht so das Problem aber das man auch auf Kundendaten Zugriff hat *kopfschüttel* Naja bei solchen Firmen arbeiten eh nur zu 90% naps also ob du da jemals etwas Kompetentes auf 2 Beinen triffs is fraglich. Sagen wir mal so wenn ich eins gelernt hab dann die Gleichung, je größer die Firma desto größer das Chaos  Zitat Normalerweise sollte ich doch nicht aus meinem "htdocs"-Verzeichniss rauskommen..... Und wenn, dann sollte ich wenigstens keine Rechte zum Erstellen und Editieren von Daten haben....Naja das Problem scheint wohl zu sein das man PHP nicht ordentlich abgesicher hat und automatisch unter den selben Rechten wie der Webserver arbeitet. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
|
|
|
|
08.02.2008, 17:50
Member
Beiträge: 1516 |
#3
Vielleicht Interessiert das den Datenschutzbeauftragten der Landesbehörde.
Also einfach mal nach Bundesland+ Datenschutzbeauftragten googeln. Die Heise Redaktion kann vielleicht auch Druck machen. __________ °<- Vorsicht Trollköder und Trollfalle -> {_} |
|
|
|
|
|
|
08.02.2008, 23:27
...neu hier
Themenstarter Beiträge: 3 |
#4
Hallo Xeper und Spunki,
danke erstmal für euere Infos und Tips... Ich denke, ich werde mich mal an die Heise-Jungs wenden, kann nicht schaden.... Gruss Motte |
|
|
|
|
|
|
15.02.2008, 23:03
...neu hier
Themenstarter Beiträge: 3 |
#5
Hallo !
Mail an einen der Redakteure von Heise.de ist am 09.02. raus - keine Antwort bis heute... Telefonat am 09.02. mit dem nach eigenen Aussagen "Chef der Sicherheitsabteilung bei 1und1", Herr Werner. Seine Aussage - wir kümmern uns darum ! " Passiert ist bis jetzt gar nichts - ich habe immer noch Zugriff auf eMail-Adressen anderer Kunden, habe volle Rechte in diversen Ordnern des Root-Verzeichnisses... Tja, was solls... Gruss Motte |
|
|
|
|
|
|
18.02.2008, 14:41
Member
Beiträge: 214 |
#6
Wem hast Du bei Heise geschrieben?
Versuch's mal bei Marko Rogge, der wird sich vielleicht dafür interessieren... http://www.marko-rogge.de/index1.html __________ the power to serve |
|
|
|
|
|
|
02.03.2008, 16:27
...neu hier
Beiträge: 1 |
#7
Ist eigentlich ein klassischer Fehler:
- PHP opendir restriktion vergessen - den Kunden jailen/chrooten Sieht man eigentlich eher bei Wohnzimmer/Hobbyprovider mit wenig technischen Wissen - wundert mich eher das so ein großer wie 1&1 sowas nicht drauf hat. An deiner Stelle würde ich ganz schnell von denen verschwinden, möglich ist nämlich auch das ein anderer auf die Idee kommt und deine Dateien einsieht/löscht oder verändert |
|
|
|
|
|
|
04.03.2008, 17:13
Member
 Beiträge: 4730 |
#8
Oder "aus Versehen" eine Einstellung ändern, die dazu führt, dass nichts mehr geht, wodurch 1&1 definitiv zum Handeln gezwungen wird. Nachteil könnte sein, dass die ggf. versuchen, Dir den schwarzen Peter in die Schuhe zu schieben. Andererseits dürfte selbst ein fehlerhaft programmiertes Script nicht in der Lage sein, Veränderungen außerhalb Deines Quotas durchzuführen.
__________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich habe eine kleine Frage an die Spezialisten hier im Forum:
Ich habe mehrere Domains bei einem grösseren deutschen Webhoster zu laufen.
Vor einiger Zeit habe ich auf meinem Webspace ein PHP-Script installiert, welches mir es ermöglicht, von unterwegs (Internet-Cafe) per Browser Dateien zu erstellen, zu bearbeiten, e.t.c. .
Das Script zeigt mir unter Anderem den absoluten Serverpfad zu meiner Domain an.
Beispiel: /homexxxxxx/275/dxxxxxxxx/htdocs/script/
Durch Zufall habe ich nun herausgefunden, das ich, wenn ich den Pfad kürze, vollen Zugriff auf das Server-Hauptverzeichniss habe.
Ich kann u.a. eMail-Adressen anderer Kunden einsehen, Benutzernamen, ich kann Dateien kopieren, neue Dateien erstellen u.sw. .
Ich habe meinen Provider jetzt schon mehrfach darüber informiert, per Telefon, Mail an Abuse u.s.w....
Aber es passiert nichts, niemand scheint sich darum zu kümmern...
Ich verstehe nicht wirklich viel von Servern und deren Konfiguration, aber dies scheint doch eine Sicherheitslücke zu sein, oder ?
Normalerweise sollte ich doch nicht aus meinem "htdocs"-Verzeichniss rauskommen..... Und wenn, dann sollte ich wenigstens keine Rechte zum Erstellen und Editieren von Daten haben....
Vielleicht wisst ihr ja einen (kompetenten) Ansprechpartner, der sich mal um dieses Problem kümmert.... Danke !
P.S.: Ich habe auf dem Server nichts verändert und werde dies auch nicht tun....
Gruss
Motte