Hallo,
Uwe Koloska schrieb:
Erläuterung? Da c`t noch nicht ganz zum Käseblatt geworden ist und all-inkl (allerdings .com) dort ganz gut abgeschnitten hat, frage ich mich, was du für weitergehende Informationen hast ...
all-inkl.com = all-inkl.de
Man kann sich mit php eine pseudo-shell bauen. Damit ist man dann als User www-data (o.ä.) auf dem System unterwegs und kann den Quellcode aller php-dateien aller Kunden auf dem System lesen. Somit kann man auch deren mysql-Passwörter herausbekommen und diese sind mit dem ftp-Passwort identisch.
Nachdem ich dies dem Support mitgeteilt hatte, haben sie die Programme 'ls' und 'cat' für www-data nicht mehr executable gemacht. Dies kann man aber ganz einfach umgehen.
Außerdem war die bash_history von root world readable. Darin standen weitere Daten, mit denen man jedemenge Unfug hätte anstellen können.
Als ich diese Probleme dem Support mitgeteilt hatte, bekam ich eine Drohung zurück, dass ich doch bitte weitere Nachforschungen unterlassen soll. Ich hab auch nicht mehr weitergebohrt, sondern beschlossen umzuziehen.
Christoph