| Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
| Autor |
Nachricht |
TMSearcher
Anmeldungsdatum: 19.05.2005
Beiträge: 270
Wohnort: Bremen
|
 Verfasst am: 18. Jul 2005 23:00 Titel: Sicherheitslücke? |
 |
|
Hi,
muss gestehen habe ein wenig in anderen Foren gespickt* und folgende etwas für erschreckende Bemerkung gelesen:
| Zitat: |
Habt Ihr auch schonn tests mit der c99Shell für PHP gemacht?
Mit der Shell kann man alle Verezichnisse auf einem Windows Server anschauen (runterladen, ändern.löschen).
Eifach per FTP Raufladen fertig.
Wie kann man sich vor so einem eingriff auf einem Windows Server schützen? |
Soll jetzt keine Aufforderung zum hacken sein - sondern eher das Gegenteil.
Ich bin kein Highlight was PHP angeht und deshalb von mir die gleiche Frage.
Gruß
TMS
* kann ja mal durch einen Tippfehler passieren ( mein Keyboard muss echt in den Müll, die Tasten haken immer mehr  )
_________________
Intelligent life is so very rare,
the rarest thing in creation
and the most precious
This is Earth Calling.. |
|
| Nach oben |
|
 |
|
|
Crotaphytus
Anmeldungsdatum: 08.05.2005
Beiträge: 213
|
| Verfasst am: 19. Jul 2005 20:20 Titel: |
|
|
Also zumindest unter Linux lässt sich das Ganze so konfigurieren, dass PHP seine Dateisystem-Funktionen nur ab einem bestimmten Verzeichnis (htdocs würde sich anbieten...  ) einsetzen darf. Rein theoretisch müsste das eigentlich auch unter Windows einstellbar sein, zumindest so lange diese Einschränkung nicht über Zugriffsrechte realisiert wird (und das wirds meines Wissens nicht).
_________________
Genie oder Wahnsinn? Wer kann es wissen... |
|
| Nach oben |
|
|
TMSearcher
Anmeldungsdatum: 19.05.2005
Beiträge: 270
Wohnort: Bremen
|
| Verfasst am: 20. Jul 2005 03:17 Titel: |
|
|
Hi,
also laut den Aussagen, ist das Ding heftiger als man denkt. Ich hab mir das Skript mal runter geladen
http://ccteam.nukleon.us/files/c99shell.txt
Hab's aber noch nicht ausprobiert ( also vorsicht) - dieser Bug soll aber alle Systeme betreffen, da er auf Rechte im Dienste-Bereich zurück greift.
Werde das vielleicht mal am Wochenende näher analysieren bzw ausprobieren.
So long...
TMS
_________________
Intelligent life is so very rare,
the rarest thing in creation
and the most precious
This is Earth Calling.. |
|
| Nach oben |
|
|
Bartoman88
Anmeldungsdatum: 25.05.2005
Beiträge: 68
|
| Verfasst am: 23. Jul 2005 23:52 Titel: |
|
|
Ja, probier's mal bitte aus und erzähl mal!
Kann solch ein Zugriff durch eine Firewall geblockt werden? Damit meine ich NICHT die Windows-Firewall, sondern eine professionellere.
MfG
Barto
_________________
Profil aufgeräumt, Signatur ab in den Müll |
|
| Nach oben |
|
|
Crotaphytus
Anmeldungsdatum: 08.05.2005
Beiträge: 213
|
| Verfasst am: 24. Jul 2005 05:17 Titel: |
|
|
Hm... Also das Script is mir viel zu undurchsichtig als dass ich das einfach mal auf meinen Rechner laufen lassen würd...
Was die Firewall angeht: Wie soll das funktionieren? Du installierst dieses Script auf dem Webspace und hast von da aus dann Zugriff auf das komplette Dateisystem. Da du aber nur per Browser mit dem Webserver kommunizierst seh ich da keinen Ansatzpunkt für die Firewall. Außer Port 80 dichtmachen...
_________________
Genie oder Wahnsinn? Wer kann es wissen... |
|
| Nach oben |
|
|
TMSearcher
Anmeldungsdatum: 19.05.2005
Beiträge: 270
Wohnort: Bremen
|
| Verfasst am: 24. Jul 2005 17:12 Titel: |
|
|
Hi,
ich wollte es ja mal jetzt am Wochenende ausprobieren, aber..
| Crotaphytus hat Folgendes geschrieben: | Hm... Also das Script is mir viel zu undurchsichtig als dass ich das einfach mal auf meinen Rechner laufen lassen würd...
|
genau das ist der Grund, warum ich es nich geschafft habe. Ich muss erst noch ein System neu aufbauen und dann mal gucken. Aber ich glaube, dass das Skript so auch keine Gefahr für einen Server darstellt, weil es muss ja erst einmal hochgeladen werden und die Uploadbereiche (so man denn so etwas wirklich braucht) kann man ja wohl absichern. Oder sehe ich das falsch? Egal ich werde es auf jeden Fall mal auf einem Testsystem ausprobieren und sehen wie weit man gehen kann und und ob es möglich ist, es einfach auf ein System zu bekommen und dort anzusprechen. (leider im moment alles eine Zeitfrage)
Gruß TMS
_________________
Intelligent life is so very rare,
the rarest thing in creation
and the most precious
This is Earth Calling.. |
|
| Nach oben |
|
|
c3
Gast
|
| Verfasst am: 29. Aug 2005 05:58 Titel: |
|
|
Hallo
weiß jemand wie man auf Windows-Systemen (Win XP Pro SP2) mit NTFS
die Berechtigungen genau sein müssen ?
Webserver: aktueller Apache
PHP, aktuelle Version
mySQL 4.0
Der Server und die Dokumente liegen auf einer anderen Partition.
Soweit wie ich rausgefunden haben,
muss man das Konto System konfigurieren, die frage ist,
weil es im Netzt noch ein Script gibt mit dem Namen Network File Manager PHP
Dumm ist nur, dass man mit dem Script alle Partitionen abklappern kann
und dort umfug machen kann 
Wie sollte man bei Windows das komplette System konfigurieren
dass man den Root von C: bzw. anderen Partitionen
durch ein solches und andere Scripts absichern kann
ohne dass das ganze System verkonfiguriert wird ?
Es hieß immer, das System ist so sicher wie es der Administraror konfiguriert hat, oder so
Gibt es eine Lösung für diese Sicherheitslücke ?
Es tut mir leid wenn ich diese Frage stelle
ich habe auf meinem Rechner halt nur ein Test-Server
aber selbst sowas sollte richtig eingestellt sein.
Es hieß, das Linux sicherer ist, keine Frage,
aber soweit ich gehört habe, sollte es auch unter Windows gehen
Muss in Apache 2 bzw. in die php.ini irgendwas hinzugefügt werden
damit man einge Sachen einschränken kann ?
Vielen Dank |
|
| Nach oben |
|
|
|
FAQ
Suchen
Mitgliederliste
Benutzergruppen
Registrieren
Profil
Einloggen, um private Nachrichten zu lesen
Login
