Hallo,

Uwe Koloska schrieb:

Erläuterung? Da c`t noch nicht ganz zum Käseblatt geworden ist und all-inkl (allerdings .com) dort ganz gut abgeschnitten hat, frage ich mich, was du für weitergehende Informationen hast ...

all-inkl.com = all-inkl.de

Man kann sich mit php eine pseudo-shell bauen. Damit ist man dann als User www-data (o.ä.) auf dem System unterwegs und kann den Quellcode aller php-dateien aller Kunden auf dem System lesen. Somit kann man auch deren mysql-Passwörter herausbekommen und diese sind mit dem ftp-Passwort identisch.

Nachdem ich dies dem Support mitgeteilt hatte, haben sie die Programme 'ls' und 'cat' für www-data nicht mehr executable gemacht. Dies kann man aber ganz einfach umgehen.

Außerdem war die bash_history von root world readable. Darin standen weitere Daten, mit denen man jedemenge Unfug hätte anstellen können.

Als ich diese Probleme dem Support mitgeteilt hatte, bekam ich eine Drohung zurück, dass ich doch bitte weitere Nachforschungen unterlassen soll. Ich hab auch nicht mehr weitergebohrt, sondern beschlossen umzuziehen.

Christoph

Hallo!

Hat jemand diesen Test auch schon mit Racer Webhosting von server4you gemacht?

Vergiß Server4You. Die Zuverlässigkeit lies bei mir zu wünschen übrig. Es ist nicht übertrieben, wenn ich sage, daß ich froh war, wenn das Konfigurationsmenü gerade ging. Änderungen wurden teilweise erst nach Tagen wirksam.

Der Supportmann zum Telefonsex-Tarif verwies nur auf das Ticket-System, wenn er deutsch konnte.

Einzig auf mein Einschreiben mit der Kündigung reagierten sie prompt und korrekt.

Thomas

On Fri, 10 Sep 2004 13:04:55 +0200 Rico Ludwig heckpart@web.de wrote:

Am Fr, den 10.09.2004 schrieb Christoph Mueller um 12:02: Bist eben ein gefährlicher Hacker ;) Wenn sie nur ansatzweise clever sind, nehmen sie sich trotzdem deine Hinweise zu Herzen und ändern was an der Lage. Vertrauenerweckend sind solche zustände aber in der Tat nicht... Da ist man doch lieber sein eigener Hoster ;)

das ist soeben geschehen, nur fürs Protokoll :)

---

all-inkl.com - Kundeninformationen.

PHP ist auf unseren Servern ab sofort in zwei Varianten installiert. Die erste Variante ist PHP als Modul. PHP als Modul hat den Vorteil das hier die Umgebungsvariablen verfuegbar sind. Desweiteren koennen Sie über eine .htaccess Datei mit den Anweisungen php_flag bzw. php_value gewisse Einstellungen der php.ini auf eigene Wunschvorstellungen setzen. Aus Sicherheitsgruenden bei PHP als Modul sind hier aber systemkritische Befehle wie zum Beispiel exec(),system(),passthru(),shell_exec(),popen(),escapeshellcmd() gesperrt. Diese Befehle werden aber selten von gaengigen Foren, Boards oder ContentManagementsystemen (CMS) genutzt.

Die zweite Variante ist PHP als CGI. Bei PHP als CGI sind diese besonderen Befehle freigeschalten, da hier durch die Art der Benutzerverwaltung kein Sicherheitsrisiko besteht. Bei PHP als CGI sind die Umgebungsvariablen nicht auslesbar, zudem koennen keine Änderungen von Einstellungen der php.ini per .htaccess vorgenommen werden.

---

mfg Andre Leubner

On Sun, 19 Sep 2004 23:28:34 +0200 Christoph Mueller s3721890@mail.inf.tu-dresden.de wrote:

Hallo Andre,

Wo hast du das gefunden? Unter welcher UID laufen denn die CGIs?

Das kam per Mail an alle Kunden, ausserdem Arbeiten 2 Bekannte von mir da, das hat die Sache sicherlich beschleunigt :)

Die cgi's laufen unter dem jeweiligen Nutzer/account, in meinem Fall v099604.

Gruß Christoph

mfg Andre Leubner