Chrisso 0 Report post Posted July 15, 2004 Hallo Leute, ich habe mal eine relativ allgemeine Frage bezüglich der Sicherheit der Foren Software. Wir benutzen die 1.3.1 final und ich halte das System auch für sehr sicher (Hack Attack aktiv etc.) Nun ist es so, dass wir einen User haben (er hat auch ein Galerie Modul programmiert), der ein eigenes FTP Konto auf unserem Server hat - eben, um sein Modul zu verwalten. Worum gehts jetzt? Er ist der festen Überzeugung, er käme durch seinen FTP Zugang an die DB. Und ich wäre naiv würde ich das einfach als Geschwätsch abstempeln, er leistet gute Programmierarbeit und genießt mein volles Vertrauen. Er hat Zugriff auf /html/forum/galerie, muss also quasi nur den einen Pfad rauf, um an die global_conf zu kommen, in der ja DB und PW in klartext stehen. Wir sind jetzt grad dabei einen Termin zu koordinieren, um einen Hackversuch "kontrolliert" zuzulassen. Meine Frage an die Profis: was ist dran an der Sache? Was kann ich dagegen unternehmen? Share this post Link to post
Helge 192 Report post Posted July 15, 2004 Meine Meinung: Er wird nicht an die Daten herrankommen. Share this post Link to post
Andy 0 Report post Posted July 15, 2004 Also wenn er lediglich einen FTP Zugriff hat zu diesem bestimmten Verzeichnis, und sonst nichts weiter, sehe ich eigentlich auch keine weitere Gefahr oder ähnliches.... Also ohne weiteres klappt das nicht, aber natürlich in kein PC oder Server sicher vor Hack Angriffen, um es mal so formal auszudrücken :D Share this post Link to post
Slit 0 Report post Posted July 16, 2004 Ja aber Theoretisch hat er ´ja das verzeichnyiss ihm nicht freigegeben, d.h er kann net druf und er hat ja auf dem Space seine "eigene""Abteilung", so wie des verstanden hab. Ich schliese daraus: Das wenn er an den ordner will, erstmal des pw von dem Benutzername vom Chrisso raus bekommen muss. Was schliessen wir darau? Er muss es irgendwie hacken. Und wie ich anehme steht es nicht auf seinem Schreibtisch Also müsste er es durch ungangenehmes ausprobieren oder er hackt sich in den FTP server der Firma ein (auf deren großrechner) und sucht nach dem pw. Oder er schlausst nen Trojaner auf den PC von Chrisso und lässt nen pwsniffer laufen, aber dann aht er nicht nur des FTP PW Wenn ich grad mist gelabert hab, und es sowas von nicht stimmt, was ich nicht glaube , da´nn ignoried den Text einfach^^ :wacko: Share this post Link to post
Blackman 0 Report post Posted July 16, 2004 Ganz einfach: 2 Möglichkeiten: Safe-Mode on: Er muss einfach sein Galerie-Modul (wenn es denn übers Forum läuft), so umprogrammieren das es die Datenbank-Daten im klartext anzeigt, bin mir nicht sicher, sollte aber möglich sein. Safe-Mode off: HAHA ! PHP-Script hoch, das liest einfach die conf-global aus, PHP, oder PERL-Scripte unterliegen keinen FTP-Einschränkungen (Perl unterliegt noch nichtmal dem Safe-Mode, aber Perl-scripte kann man ja meißt nur in cgi-bin ausführen)... Wie man sieht, einfache sache, und relativ schnell gemacht ! BLACK Share this post Link to post
Chrisso 0 Report post Posted July 16, 2004 Das, was Blackman sagt, zweite Möglichkeit! Safe Mode ist bei uns aus, der User hat mir gesagt, dass er ein PHP Skript hochlädt, was das PW aus der conf ausliest, womit er einfach an das PW zum SQL Server kommt. Da kann er dann einfach die Modifikationen vornehmen. Was ist davon jetzt zu halten, ist das ein Problem in der Boardsoftware oder was generelles, wie ist dem entgegenzuwirken? Der Versuch wird auf die Nacht zum Montag passieren. Share this post Link to post
Blackman 0 Report post Posted July 16, 2004 Also, mir würden ein paar methoden einfallen ... Eine Möglichkeit wäre den Safe-Mode anzumachen, was aber für's board blöd ist, eine andere Möglichkeit wäre das ausführen von php Scripten in der htaccess abzuschalten, und htaccess-dateien in unterverzeichnissen nicht mehr zuzulassen. Könnte aber gut sein, das dann sein Gallerie-Modul nicht mehr funktioniert ... Du könntest auch die conf_global.php einfach umbennen, dann müsstest du aber mehr oder weniger große Modifikationen an der Board-Software durchführen. Wäre auch eine möglichkeit extra für seinen Account die open_basedir anders einzustellen, aber das macht halt aufwand, kommt drauf an ob du's einstellen kannst ! Das Hauptproblem ist einfach, das ein Script auf deinem Server in deinem Namen läuft, und damit auch alle Rechte innerhalb deines Accounts hat ! Ändern kann man daran nichts, denn das Board funktioniert ja auf diesem Prinzip, anders würde das alles gar nicht klappen. Ich denk nochmal drüber nach, aber auf Anhieb fällt mir jetzt keine Lösung mehr ein, außer einfach: "Gib nur demjenigen FTP-Accounts, dem du vertraust". Bei meinem Provider kann ich für jemanden der unbedingt sachen auf meinem server braucht, ne komplette, eigenständige Domain einrichten, die absolut unabhängig von meiner ist (außer das ich sie einstellen kann), das halt ich für ne gute Lösung, dann muss man das Gallerie-Modul aber EXTERN einbinden ... Tja, so oder so, irgendwie doof ... BLACK Share this post Link to post
Chrisso 0 Report post Posted July 16, 2004 Also Safe-Mode an, wäre wohl ne recht ungemütliche Methode. htaccess etc. kann ich nicht ändern, liegt beim Hoster, soweit ich weiss. conf_global scheint mir recht sinnvoll. Gibts dazu konkrete Möglichkeiten? Klar, nur User die wirklich mein Vertrauen genießen, wer dieser Fall auch, kriegen nur Zugriff. Er arbeitet ja auch mit in unserem Team, also absolut sicher. Er würde die Aktion auch nicht starten, wenn ich es ihm nicht nahezu aufgezwungen hätte Andere Domain kann ich leider auch nicht einstellen. Share this post Link to post
