Thema: Server-Sicherheitsproblem?

Bisschen heikles Thema.
Habe auf meinem Webspace einen php file manager installiert, um updates per zip hochladen und entpacken zu können. Durch Zufall bin ich mit dem file manger im root des servers gelangt und konnte durch das komplette Dateisystem browsen, unter anderem auch in den WebPaketen anderer und hätte auch Zugriff auf die configuration.php (lesend) gehabt. Dort steht ja allerdings das db-Passwort drin, womit ich ja Zugriff auf die Datenbank gehabt hätte.
Habe ich irgendeine Paranoia oder ist dort ein riesen Sicherheitsloch vorhanden und ich sollte schleunigst den Hoster informieren?
Wollte eure fachkundige Meinung dazu hören, bevor ich die Pferde scheu mache.

Gruß Papi

Zitat von koenig.ludwig

Krass. Da wollt ich mein Web aber nicht installieren. Ich würd a) den Hoster informieren und b) nen anderen Hoster suchen ... und beides schneunigst.

Nee, würd ich nicht machen. Die lachen dann nur, und das zu Recht. Schließlich hat nicht der Hoster die Sicherheitslücke installiert, sondern der Kunde selbst.

Wer sowas (auch phpMyAdmin z.B.) auf seinem Webspace installiert, muß auch dafür sorgen, daß kein Unbefugter drankommt. Bei Google nach "verzeichnisschutz htaccess" suchen.

Zitat von DietmarH

Nee, würd ich nicht machen. Die lachen dann nur, und das zu Recht. Schließlich hat nicht der Hoster die Sicherheitslücke installiert, sondern der Kunde selbst.

Wer sowas (auch phpMyAdmin z.B.) auf seinem Webspace installiert, muß auch dafür sorgen, daß kein Unbefugter drankommt. Bei Google nach "verzeichnisschutz htaccess" suchen.

Verstehe das jetzt nicht ganz. Die configuration.php liegt doch direkt im Joomlaverzeichnis. Das kann ich doch nicht mit einer htaccess schützen oder sehe ich das falsch?
Und phpmyadmin ist ja vom webhoster installiert, da habe ich als Kunde nichts mit zu tun.

Zitat von Papillon

Verstehe das jetzt nicht ganz. Die configuration.php liegt doch direkt im Joomlaverzeichnis. Das kann ich doch nicht mit einer htaccess schützen oder sehe ich das falsch?

Ohne Filemanager haben Dritte keinen Zugriff auf die configuration.php. Gegen "normale" Zugriffe von außen ist sie mit den normalen Einstellungen des Servers ausreichend geschützt. Sie kann nicht aufgerufen und nicht eingesehen werden.
Die Sicherheitslücke ist der Filemanager. Der darf nur in die Finger autorisierter Personen gelangen, und dessen Verzeichnis mußt du vor Zugriffen schützen.

Und phpmyadmin ist ja vom webhoster installiert, da habe ich als Kunde nichts mit zu tun.

Ist zwar heute überwiegend so, aber nicht selbstverständlich. Und wenn der Kunde den selbst installiert oder ein ähnliches Tool, das ihm besser gefällt, ist er auch für die Absicherung verantwortlich und nicht der Hoster.

Was glaubst du, was dein Autohändler sagt, wenn du bei ihm reklamierst: "Ich hab festgestellt, daß jeder mit meinem Auto rumfahren und im Handschuhfach schnüffeln kann, wenn ich den Schlüssel auf dem Dach liegen lasse!"
Genau so würde dein Hoster reagieren.

Ohne Filemanager haben Dritte keinen Zugriff auf die configuration.php.

Vielleicht habe ich mich nicht richtig ausgedrückt, aber ich habe den filemanager selbst installiert, und habe damit Zugriff auf configuration-files von anderen Nutzern (Wenn auch nur mit denjenigen Datei-Rechten die vom entsprechenden Nutzer freigegeben sind).

Will heißen: Ich installiere einen Filemanager auf meinem Webspace, kann damit die configuration.php von anderen Nutzern auf dem Server lesen, über den Nutzernamen und das Datenbankpasswort auf die Datenbanken der Nutzer zugreifen und dort beliebige Änderungen vornehmen.

Wie soll man sich da als User davor schützen?

P.S.: Sorry, wenn meine Fragen anfängerhaft sind, aber jeder fängt mal klein an ;-)

Zitat von Papillon

Vielleicht habe ich mich nicht richtig ausgedrückt, aber ich habe den filemanager selbst installiert, und habe damit Zugriff auf configuration-files von anderen Nutzern (Wenn auch nur mit denjenigen Datei-Rechten die vom entsprechenden Nutzer freigegeben sind).

Kannst du mir mal nen Eimer Wasser über den Kopf gießen, damit ich wach werde? Das habe ich jetzt erst verstehend gelesen...

Will heißen: Ich installiere einen Filemanager auf meinem Webspace, kann damit die configuration.php von anderen Nutzern auf dem Server lesen, über den Nutzernamen und das Datenbankpasswort auf die Datenbanken der Nutzer zugreifen und dort beliebige Änderungen vornehmen.

Da hat dein Hoster ganz böse was verbockt. Ein PHP-Script darf nicht aus dem zugewiesen Webspace ausbrechen können. Das ist eine eklatante Sicherheitslücke, die allein der Hoster zu verantworten hat.

P.S.: Sorry, wenn meine Fragen anfängerhaft sind, aber jeder fängt mal klein an ;-)

Nein, waren sie nicht. Schuld war meine Unfähigkeit, deinen Beitrag komplett zu verarbeiten. Natürlich muß der Hoster diese Lücke umgehend stopfen.

Nichtsdestotrotz solltest du den Filemanager vor fremden Zugriffen schützen. Auch wenn die Lücke gestopft ist, hätte ein Fremder damit immer noch vollen Zugriff auf deinen Webspace.

Nichtsdestotrotz solltest du den Filemanager vor fremden Zugriffen schützen. Auch wenn die Lücke gestopft ist, hätte ein Fremder damit immer noch vollen Zugriff auf deinen Webspace.

Das habe ich natürlich schon gleich bei der Installation gemacht ;-)

Da hat dein Hoster ganz böse was verbockt. Ein PHP-Script darf nicht aus dem zugewiesen Webspace ausbrechen können. Das ist eine eklatante Sicherheitslücke, die allein der Hoster zu verantworten hat.

Dann werde ich ihn mal schleunigst informieren.

Danke für den Rat!
Gruß Papillon