• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

100mb4free.de - Sicherheitslücke

S

server4downs

Guest
Hallo,

da ich eigentlich nur mal aus Spaß mir 100mb4free.de genauer unter der Lupe betrachten wollte, habe ich mich dort angemeldet.
Wenn man das Angebot so sieht denkt man "wow, für einen Freehoster nicht schlecht"... wer aber auch Datensicherheit garantiert haben will, der sollte sich SCHNELL von 100mb4free.de abwenden.
Man könnte es sarkastisch auch so ausdrücken:
"Wenn es dich nicht stört, dass einige x-hundert oder sogar tausend andere Leute auf deinen Account zugreifen können (FTP, MySQL, Interface), dann ist 100mb4free.de genau das richtige für dich" ;)

Der Betreiber hat es sich leicht gemacht und einfach die User in Form von http://www(2).100mb4free.de/username angelegt und hierbei nichtmal eine virtuelle open_basedir für PHP gesetzt.

Um nun mal auf den Punkt zu kommen: es ist kein open_basedir und kein safe_mode gesetzt und alles läuft als Apache-Modul...
Einfach schnell anmelden... ein kleines Script schreiben oder webadmin.php verwenden und auf den Server laden. Nun kann man sich fröhlichst mit Schreibrechte durch ALLE Userverzeichnisse wühlen (was das heißt, kann sich ja jeder denken), sofern es Spaß machen sollte.

Fazit also: wer seinen Provider (egal ob Free- oder Payedhosting) nicht auf Sicherheit überprüft, ist den Crackern gnadenlos ausgesetzt. Daher: 100mb4free.de kann eher als eine öffentliche Festplatte benutzt werden, ist jedoch für seriösen Einsatz NICHT zu gebrauchen.

Warum ich mir überhaupt die Mühe gebe um diesen Thread zu verfassen:
1. ist mir gerade eh langweilig
2. finde ich es schade, dass ein ServerAdmin eines Providers absolut keine Ahnung von seiner Software, die sich auf dem Server befindet hat.
 
Ein sarkastischer Nachtrag:
WebServer - Einleitung
Sie träumten schon immer mal davon einen eigenen Server zu besitzen? Sie haben vergebliche Versuche gestartet mit Linux einen Server zu starten? Sie haben keine Lust auf teure Windows Lizensen? Das Team von 100mb4free bietet Ihnen ein unglaubliches Angebot! Wir konfigurieren Ihnen sämtliche Server! Sie müßen am Ende nur noch Ihren Server an die Steckdose anschließen und schon haben Sie einen funktionions fähigen, sauber konfigurierten Server!
Ohne Linux-Kenntnisse zum Erfolg!
Sie starten gerade ein neues Projekt? Sie haben eine Firma und suchen noch passende Webserver? Hier haben wir für Sie einen vorkonfigurierten Webserver! Umfangreiche und zeitaufwändige Installationen und Konfigurationen bleiben Ihnen dadurch erspart!
"Ohne Linux-Kenntnisse zum Erfolg" ;)
Naja, scheint ja wirklich zu klappen :)
 
jo das ist mir schon länge bekannt aber naja noch nie auf die Idee gekomme das mal hier reinzuposten aber man kann nichtnur die anderen verzeichnisse angucken sondern alle d.h. man hat fast kompletten shell zugang
 
Hallo!
Mir ist auch gerade langweilig :)
- Was ist das für ein Verein?
- Privatperson, e.V., Firma?

Kleine Meldung an den zuständigen Datenschutzbeauftragten sollte genügen.
Muss man irgendwo seinen Namen und/oder sein Geburtsdatum angeben?

mfG
Thorsten
 
Hallo,

(Achtung: mind. 1 Promille Post)
Mir ist auch gerade langweilig...hat jemand einen Eimer zu ko***

Ein Hoch auf alle FreeHoster. Aber vielleicht sollten wir sie mal darauf aufmerksam machen. Ich meine wenn ich der Hoster wäre würde mich es freuen wenn die Leute mich auf Sicherheitslücken hinweisen. Im Endeffekt wird es ja auf dem Rücken der User dort ausgetragen und jeder von uns könnte da User sein und dann würde es mich nicht freuen wenn ich so ein unsicheres System hätte

So ich geh wieder ins Bett...
 
Back
Top