Thema: wwwrun, 777 und Co.

Zitat von nyc7000

Aber was kann konkret passieren? Warum sollten irgendwelche Hacker ausgerechnet meine seite hacken wollen?! Ich denke, dass passiert nur großen Firmen und Unternehmen, wo man Geld mit machen könnte, oder?!

Und können User sich denn überhaupt noch anmelden, im Forum oder Gästebuch schreiben, wenn nicht alles auf 777 ist?

klick mal auf meinen nick und lies die beiträge, die ich hier gepostet habe. die meisten befassen sich damit, dass mal wieder meine website gehackt wurde. und zur klarstellung: ich hab weder ne große firma noch ein unternehmen, mit dem ich geld machen könnte.

die meisten hier erwähnten hacks (vielleicht sogar alle?!?) werden nicht von hackern, sondern von scriptkiddies durchgeführt, die es gar nicht interessiert, wie groß oder klein deine website ist oder womit sie sich beschäftigt. sobald deine site bekannt genug ist, um bei ner google-suche (oder suchmaschinen-suche generell) aufzutauchen, wirste von ihnen besucht. und dann möchte ich nicht in deiner haut stecken, wenn alles auf 777 steht. sei gewiss, ich sprech da aus erfahrung, denn ich hatte das gleiche problem auch mal und hatte alles auf 777 stehen, weils ja mit dem installieren / updaten / ändern viel einfacher war.

Zitat von nyc7000

Wenn ich den Dateien, die ich mit FTP hochgeladen habe (bei der Installation) nicht 777 gebe, dann bekomme ich ständig das rote unwriteable. Und alle sagen hier, dass das fatal wäre, wenn man diese so belassen würde (777). Aber was kann konkret passieren? Warum sollten irgendwelche Hacker ausgerechnet meine seite hacken wollen?! Ich denke, dass passiert nur großen Firmen und Unternehmen, wo man Geld mit machen könnte, oder?!

"gehackt" wird willkürlich ohne Sinn und Verstand. Diesen Script Kiddies geht es nicht um Kohle-machen, sondern darum einen weiteren Punkt inder Hacker-Ranking-Liste zu erlangen. Dort wird das als Sport betrachtet.

Um Dir gleich die Illusion zu rauben:
Webspace mit dem "wwwrun-Problem" (und genau trifft bei Dir zu) ist schlicht und ergreifend für Joomla untauglich. Es gibt alle möglichen Tricks und umständliche Wege (chmod laufend umsetzen etc.) bestimmte Probleme zu umschiffen, aber wenn Du Dir dann nach 6 Monaten mal die Zeit addierst, die Du für diese Zusatz-Arbeit aufwenden musst, dann wirst Du (eventuell) auch meine Aussage bestätigen können. Zumal das Arbeiten sind, die mit dem Joomla eigentlich überhaupt nichts zu tun haben.

Übrigens sagt mein Provider, ich dürfte mit wwwrun keine Probleme haben, da der Save Mode aus ist. Hmmm...

Ein weiterer Punkt, der Deinen Webspace unsicher macht. Joomla funktioniert einwandfrei mit EINgeschaltetem safemode, wenn es kein wwwrun-Problem gibt.

Zitat von flotte

Joomla funktioniert einwandfrei mit EINgeschaltetem safemode, wenn es kein wwwrun-Problem gibt.

das kann ich so nicht bestätigen. ich habe
a) das wwwrun-problem
b) safemod = on
c) joomla 1.0.11 mit diversen komponenten

alles funktioniert (...zumindest noch)

ich hab die rechte manuell zurückgesetzt. z.t. auf 755, z.t. aber auch noch mehr beschnitten. bei mir läuft alles problemlos.

wieso probierst du es nicht jeweils selbst aus? per ftp die rechte ändern, parallel dazu im frontend testeinträge machen, die du kurz danach (also fast parallel) im backend wieder rauslöschst, wenn alles geklappt hat.

wie meine omma immer sachte: "versuch macht kluch. jedenfalls den, der es ausprobiert."

Zitat von heaven

das kann ich so nicht bestätigen. ich habe
a) das wwwrun-problem
b) safemod = on
c) joomla 1.0.11 mit diversen komponenten

alles funktioniert (...zumindest noch)

... ja und Du wurdest erfolgreich gehackt - nicht vergessen oder verwechsel ich Dich?
Joomla mit veralteten Tools ist nur die Tür für einen erfolgreichen Hack. Ob es hinter der Tür weitergeht, liegt am Server.

Ich schrieb ja auch NICHT, das Joomla NICHT funktioniert, wenn der Server unsicher eingestellt ist

Zitat von nyc7000

Bin dann gestern rangegangen und habe jede einzelne Datei, die zu joomla gehört mit dem joomlaxplorer manuel und einzeln hochgeladen. Puh, das war ne stundenlange Arbeit aber ok,...

PS: Mit diesem Datei-Manager hättest Du ein komplettes Archiv hochladen und auf dem Server online entpacken können.
Das dauert nur ein paar MInuten.

Gehe ich richtig davon aus, dass wenn ich für alle Dateien wwwrun mit 755 habe alles dann in Ordnung ist (aus sicherheitstechnischen Gründen)?

Nein - leider überhaupt nicht. Du hast lediglich ein technische Voraussetzung geschaffen, um beispielsweise den safemode einschalten zu können.
Der wwwrun-User wird von ALLEN Kunden auf dem Server genutzt. Folglich haben ALLE Kunden auf dem Server dieselben Rechte - also Schreibrechte auf Deinem Webspace.
Man versucht dies durch PHP-Techniken wie "open_basedir" zu beschränken, aber es gibt diverse Mögklichkeiten dies zu umgehen. Extern aufgerufene Binaries beispielsweise scheren sich reichlich wenig um PHP-Einschränkungen, weil sie diese gar nicht kennen. Auch diverse PHP-Funktionen brechen immer wder gerne aus dieser Beschränkung aus. Schlicht gesagt: Das open_basedir ist eine nachträgliche Schrott-Lösung um Sicherheit vortäuschen.

Sicherheit wird auf Linux-Servern in erster Linie durch eine elementare übergreifende Technik erreicht: Die Verwendung von Systemusern und die Zuordnung von Rechten für diese User.

Was muss also getan werden?
Wenn Deine Dateien einem User gehören, den nur Du alleine verwendest und der nur für Dein Web eingerichtet wurde und wenn dann auch noch PHP und FTP ebenfalls in Deinem Web unter diesem eigenen Systemuser laufen (in anderen Webs unter den anderen Usern), ja dann wirken die Dateirechte genau so wie sie sollen.
Solche Dateien sind dann nur zu "knacken", wenn ein Hacker auf einem Server höherwertige Rechte erlangen kann - beispielsweise root-Rechte. Hier kommen wir dann langsam in einen Bereich, der dann tatsächlich was mit "hacken" zu tun hat. Die üblichen Script-Kiddie-Lachangriffe sind weit davon entfernt.

Warum ist das alles so schwer?
Ist es gar nicht!
Die meisten Hoster wählen jedoch die typische Standardkonfiguration (mod_php), weil z.B. ein Confixx von Haus aus gar nichts anderes kann und weil man mit der Standardkonfiguration deutlich mehr Kunden auf einen Server quetschen kann.
Es gibt auch Konfigurationen, bei denen man wenig Rescourcen braucht, aber die sind dann i.d.R. sehr verwaltungsaufwändig und für Shared-Hosting nur begrenzt nutzbar oder aber zu kompliziert

Man kann den Hostingmarkt eben doch nicht nur mit Space und Traffickosten vergleichen. Weil die meisten aber nur darauf gucken, haben die meisten auch entsprechende Sorgen