• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

1&1 - stupidity?

S

server4downs

Guest
Hey junx,
ich habe doch mal spaßeshalber ein php-script geschrieben, was mir brav alle Dateien und Ordner ausliest. Dann mal per ftp auf einen 1&1-Webhosting-Server hochgeladen und mich mal so durchgeklickt.
Echt interessant:
Man kommt ohne Probleme bis nach / !
Naja, viel ausrichten kann man ja nicht, aber immerhin kann man sich schon so einiges des Servers 'reinziehen'. Unter anderem fand ich einen "lost&found"-directory. Sehr viel phpnuke-shit ist da drinnen (von versch. Kunden) und ein paar Dateien von Kundenseiten. config-dateien für php-anwendungen waren nicht vorhanden (so weit ich mich durchgewühlt hatte).
Das Ganze erscheint mir ein bisschen komisch.
Ist das Absicht, dass da jeder so weit hochspringen darf?

Mal schauen.. ich seh mich mal ein bissle weiter um :D
hehe, aber so kann man wenigstens mal herauskriegen, wieviel Kunden tatsächlich sich auf einem Server befinden ;)

Was sagt ihr dazu?
 
Hallo server4downs!
Sei damit bitte äußerst vorsichtig! Selbst das 'nur' schauen könnte man dir übel nehmen. Stichwort Ausspähen von Daten.
Wenn du eine vermeintliche Sicherheitslücke entdeckst, informiere den Anbieter und teile ihm mit, wann du was und wie lange getan hast.

mfG
Thorsten
 
Würd' ich auch sagen. Am besten 1&1 sofort informieren. Nur weil eine Tür offen steht, darf ja nicht jeder gleich 'reinspazieren und alles durchsehen (zumindest bei uns zu Hause :p ).
 
das war bei meinen alten hoster auch so :)
habe ihn informiert und ich habe dafür 100 mb mehr im monat bekommen.
 
Hmm wozu PHP? Logge dich doch mal per ssh ein... :cool:

Dass man bis ins / kommt heißt noch garnix. Die komplette Serversoftware und alles was sonst noch interessant wäre ist recht gut vor Spielkindern wie uns gesichert. In lost+found sollte man aber eigentlich nicht reinkommen (ist auf dem Server meines Pakets auch chmod 700). An andere Kundendaten solltest du auch nicht rankommen. Zumindest solange der User nicht selbst die Rechte seines $home verstellt hat.
 
also ich habe 1&1 gerade mal einen recht ausfürhlichen Bericht zukommen lassen. Mal sehen, was die mir antworten.

Ich werde (wenn ihr wollt) die Auflösung der gesamten Geschichte dann posten.
 
server4downs said:
Man kommt ohne Probleme bis nach / !
Das heißt lediglich, daß es keine genauere Openbase-Restrinktion gibt.
Per Perl kommt man übrigend immer soweit hoch, da es zu umständlich ist, jeden Benutzer in eine eigenen chroot-Umgebung zu setzten.
Aber alle Kunden bzw. die entsprechende Festplatte liegt in einem chroot, so daß eine Serverübername nicht wirklich auf diese Weise stattfinden kann.

huschi.
 
An Serverübernahme habe ich auch keinenfalls gedacht...
Das wäre mit PHP auch mehr oder weniger 'Glück', wenn man da was richtig relevantes finden würde.
Trotzdem hat man auf einem Server Leserechte für Lost+Found und auf einem anderen nicht. Das hat mich stutzig gemacht.
Auch einige Konfigurations-Dateien sind einsehbar.

>> E-Mail wurde nun an Techniker weitergeleitet. Sonst hat sich nichts getan.
 
Neuigkeiten gibts zwar in dieser Hinsicht noch nicht, da es ja so wie so nur 'uninteressant' in 1&1 Augen zu sein scheint.

Der Trick macht aber Spaß...
...bin dieses mal auf die gleiche weise ans Rootie-pw rangekommen (1&1-Root-Server).
Da lacht das Herz doch.
Keine Angst, den root kenn ich gut... der wird es mir verzeihen, dass ich nun schon zum dritten mal innerhalb von 5 Monaten innerhalb Minuten seinen fetten 1&1-Server 'hacke'. Junx, achtet wirklich gut auf solche Sachen...
...sonst kann es verdammt unangenehm werden, wenn da welche mit bösen Absichten vorbeichecken. Also, entweder niemand die möglichkeit geben etwas hochzuladen, oder ganz klar die user-settings checken und vor allem die openbasedir, die "manchen" ja unnötig erscheint mit einbinden. Sonst kann es an den Kragen und auf die Nerven gehen!
 
Back
Top