Serversicherheit – Bug oder Feature?

Vor mehreren Wochen habe ich mir mal PHP-Myserver (Seite offline) auf eine der von mir verwalteten Domains gepackt und ich war verblüfft, wie „leistungsfähig“ das Tool ist.
Kurz zur Erklärung: PHP-myserver ist ein PHP-Script, mittels welchem man bequem per Browser nicht nur die Verzeichnisebenen etc. eines Servers einsehen kann, sondern dort, die entsprechenden Rechte vorausgesetzt, auch nach Herzenslust editieren, löschen usw. kann.
Aber darum geht’s hier nicht.

Hier geht’s drum, dass ich damals klickenderweise an diesem Symbol: Verzeichniswechsel eine Ebene nach oben grossen Gefallen gefunden habe und nicht schlecht geschaut habe, dass ich plötzlich oberhalb „meiner“ Domain landete, wo die komplette Verzeichnis-Liste der auf diesem Server liegenden Domains aufgelistet ist.
Löblich, dass bei diesen Verzeichnissen die Rechte derart gesetzt sind, dass man nicht reinschauen kann, nett, dass ich mich dann mit weiter mit dem Klicken des mir gerade liebgewordenen Buttons beschäftigen kann.
Und was passierte?
Nach ein paar weiteren Klicks landete ich dann im Root des Servers mit – achtung, jetzt kommt’s – Leserechten auf alle Dateien und Ordner. Screenshot hier.

Ich kenne mich mit dem Linuks-kram nun nich sooo gut aus, dass ich mit den dort zu findenden Infos irgendeinen Mist bauen könnte, wenn ich dann aber sehe, dass das bei 2 (von 7) der weiteren Hoster, wo ich das aus wissenschaftlichen Ehrgeiz gleich auch installiert habe, dann auch so ist, dann weiss ich’s nicht, haben die ein Ei am Kopf, oder ich?

Ich habe an einen Hoster eine Mail diesbezüglich geschrieben und bis auf ein Ticket (Eingangsbestätigung) nichts zurück bekommen.

Gesetzt den Fall, dass ich mir das Wissen über die Dateien und Dateiinhalte in die Haare schmieren kann, und das alles superungefährlich ist, finde ich doch, dass spätestens bei htdocs Schluss sein sollte mit der Informationsgewinnung. (Und nein, ich propagiere hier nicht „security by obscurity“)

Technorati Tags: , ,

7 Kommentare to “Serversicherheit – Bug oder Feature?”

  1.  Greg schrieb am 05. Aug 2007 um 14:56

    Dass man die Namen von Dateien innerhalb von anderen Domains sieht, reicht mir eigentlich schon. Das finde ich schon sehr viel zu viel! Und ich meine, dass das bei mind. einer Domain auch ging.

  2.  Phil schrieb am 05. Aug 2007 um 17:14

    Sehr gut, dass mein Hoster die Rechte richtig gesetzt hat und ich nicht in über meiner Domain liegende Verzeichnisse komme 🙂

  3.  Blacker47 schrieb am 06. Aug 2007 um 1:04

    Es ist eigentlich bei Linux üblich (bei Windows übrigens auch), dass jeder angemeldete User die Systemverzeichnisse listen könnte und viele Dateien lesen (lesen != ausführen unter Linux). Der Screenshot alleine gibt keinen Anlass zur Sorge. Es kann halt so sein, dass du auf wichtige Konfigurationsdateien Zugriff hast und auch ansehen kannst, was bei anderen Domains so rumliegt oder eben nicht.

    Im Allgemeinem ist so ein *AMP System schwierig bei einem Shared-Hostig sicher zu konfigurieren. Da gibt es immer neue Ansätze, die dann nach paar Jahren wieder gedroppt werden (Secure-Mode, Base-Dir).

    P.S.: So ganz viel weiß ich diesbezüglich auch nicht.

  4.  Mike® schrieb am 06. Aug 2007 um 1:57

    Blacker: wie ich oben schrieb, geht es um Leserechte, auch ist der Beitrag bewusst nicht in der Kategorie „Finger abhacken“ gelandet, da selbst mir als Laien klar ist, dass das im Groben nicht ganz danach aussieht, als ob man da etwas kaputt machen könnte.
    Ich würde es aber auch nicht ausschliessen, dass es trotzdem einen Weg gibt. Ich hab da auch nicht alles bis ins Detail „gescannt“, um genau sagen zu können, dass da nicht doch was mit Schreib- oder Execute-rechten ausgestattet ist, sondern den Spass nur mal überflogen.
    Aber: es gibt da so ein paar Kleinigkeiten, die übelwollenden Zeitgenossen in die Hände spielen. Was ganz primitives wäre, dass man, wenn man weiss, dass der Admin Achim oder Klaus heisst, man schon die halbe Miete hat und seine Konzentration nur noch auf’s Passwort verschwenden muss. (Ja, je nach Konfig, kann’s dann schon an der IP scheitern, das ist ja nur ein theoretisches Beispiel)

    Und: Ich kann da jetzt nicht mit schlagenden Argumenten aufwarten, aber gefühlsmässig kann ich nur sagen, was ich oben schrieb: Ausserhalb der eigenen Domain hat kein Kunde etwas verloren.

  5.  Mike® schrieb am 07. Aug 2007 um 16:21

    Äääähm, ob mir das mal jemand übersetzen könnte:

    Zudem weisen die Webserver zweier kleinerer ISPs Directory-Traversing-Lücken auf, über die der unautorisierte Zugriff auf Dateien möglich ist, etwa /etc/passwd.

    (Administratoren aufgepasst: Das „Chaos“ bricht los (heise.de))
    😮

    Edit: Ach sehs grad: http://events.ccc.de/camp/2007/Hacked, kenne ich so ähnlich irgendwoher…

  6.  Blacker47 schrieb am 07. Aug 2007 um 20:12

    Bei dem oberen Link geht es um CGI-Skripte, welche die Dateien anzeigen, welche ihnen als Parameter übergeben wurden und dabei sich auch “..“ unterschieben lassen, wodurch ein dritter durch das Dateisystem reisen könnte und alle Dateien lesen, auf die der Benutzer, mit dessen rechten CGI-Skript läuft Zugriff hat.

    Es geht, soweit ich das sehe, nicht primär darum, dass der Webspacemieter bzw. CGI-Skript den Zugriff drauf haben, sondern darum, dass ein Dritter von außen einen Zugriff hat, der normalerweise so nicht vorgesehen war (Stichwort: Überprüfung und Filterung der von außen übergebenen Parameter).

    Außerdem ist passwd bei modernen Installationen halb schlimm. Richtig schlimm wäre es mit shadow-datei-lesen.

  7.  Flo schrieb am 16. Aug 2007 um 0:33

    Sehr interessante Sache das. Und ich halte sie auch für gefährlich, wie imho bereits ausreichend begründet wurde.

Trackback-Adresse | RSS-Feed für die Kommentare abonnieren

Hinterlasse einen Kommentar:


(Wir behalten uns vor Kommentare von dummen Menschen entweder zu löschen oder exemplarisch für die Nachwelt zu konservieren. Dumme Kommentare mit Werbelinks müssen leider auf zweiteres Privileg verzichten.)

XHTML: Du kannst diese Tags verwenden:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>