On Friday 05 January 2001 18:01, Dominic Neumann wrote:
Hallo leute,
mir ist letztens ein (perl)script in die haende gefallen, welches mich als serverbesitzer schon ziemlich aufschreckte: Mit diesem Script (es nennt sich cgicommand.pl) kann man im grunde alle befehle, die man auf der kommandozeile ausfuehren kann auch ausfuehren und man bekommt die ausgabe geliefert. Somit koennen sich user, die zwar vom ftp-server her nur ne chroot-umgebung haben und sich auch nicht per telnet einloggen koennen, jedoch cgi-access haben, alle moeglichen dateien vom server ziehen, sogar passwordfiles und andere geheime sachen.
Was kann ich dagegen machen?
Falls es jemanden interessiert, das script koennt ihr ja hier mal ausprobieren (ist nich auf meinem server):
http://balder.prohosting.com/~desertin/cgi-bin/cgicommand.pl
hmm, also im Verzeichnis eines Users... Ich als Admin würde 1. ExecCGI aus der Section für Userfiles steichen (das mit <Directory ???/public_html> und 2. den betreffenden User verwarnen.
Wenn er nicht reagiert käme so eine Mail: "ich habe über Ihr CGI gerade diesen Befehl ausgeführt: rm -rf ~" (da das Script unter seiner UID läuft löscht dieses Kommando sein gesamtes Homedirectory).
Konrad