Hallo leute,
mir ist letztens ein (perl)script in die haende gefallen, welches mich als serverbesitzer schon ziemlich aufschreckte: Mit diesem Script (es nennt sich cgicommand.pl) kann man im grunde alle befehle, die man auf der kommandozeile ausfuehren kann auch ausfuehren und man bekommt die ausgabe geliefert. Somit koennen sich user, die zwar vom ftp-server her nur ne chroot-umgebung haben und sich auch nicht per telnet einloggen koennen, jedoch cgi-access haben, alle moeglichen dateien vom server ziehen, sogar passwordfiles und andere geheime sachen.
Was kann ich dagegen machen?
Falls es jemanden interessiert, das script koennt ihr ja hier mal ausprobieren (ist nich auf meinem server):
http://balder.prohosting.com/~desertin/cgi-bin/cgicommand.pl
einfach kein passwort eingeben und los geht´s
ciao, dominic
-------------------------------------------------------- --> webmaster@simonandgarfunkel.de --> ICQ #71510820 --> http://www.simonandgarfunkel.de --> http://www.FreshMidis.Net ______________________________________________________________________________ Die Fachpresse ist sich einig: WEB.DE 15mal Testsieger! Kostenlos E-Mail, Fax, SMS, Verschlüsselung, POP3, WAP....testen Sie uns! http://freemail.web.de