Thema: JOOMLA 1.0.15 Seite gehackt ?

Skripte kümmern sich wenig um htaccess Dateien! Das ist ein Schutz des Webservers(!) um Seiten und Dateien nur gegen eine Authentifizierung auszugeben.
Selbst wenn der Zugriff von aussen auf ein spezielles Verzeichniss nicht möglich sein sollte legt der Angreifer die Scripte eben in einem öffentlich zugänglichen Ordner ab. Die muss es ja geben soll die Seite für die Allgemeinheit auch nutzbar sein.

Das größte Problem bei 777 ist doch nicht der Account selber, sondern das jemand "von nebenan" auf die Ordner zugreifen kann.
Fälle gab es hier im Forum schon einige bei denen das der Fall war. Da können die eigenen php files up to date sein und ohne Bekannte Lücken.
Ist der eigene Account erst mal kompromitiert interessieren diese Ordnerrechte wenig - denn wie Du erkannt hast ist bei einem CMS der schreibende Zugriff auf die Dateien und Verzeichnissen bzw. die Datenbank durchaus mal notwendig und sollte damit erlaubt sein. Da der Angreifer nun die selben Rechte hat wie joomla kann er php Skripte und Dateien nachladen soviele er will.

Dieses System mit den Gruppen und deren Berechtigungen gibt es bei Linux nicht ohne Grund und es funktioniert auch ganz gut. Nur die besten Ansätze bringen nichts wenn der user zu blöd ist sie zu nutzen oder der Hoster es nicht will da es mehr Aufwand bedeudet und sich dumpingpreise dann nicht mehr halten lassen.

PHP über ein CGI und unter individuellen Nutzern ausgeführt bringt hier einige Vorteile, auch die Größenbeschränkungen für Uploads lassen sich auf ein sinnvolles maß setzten so das auch große Komponenten ohne Probleme zu installieren sind.
Zudem greift hier das rechtemangement von Linux - damit muss man sich nicht auf diese php Konstrukte verlassen die Skripte gegenseitig abschirmen sollen.

Was ich jetzt nicht ganz verstanden habe ist was die Ausführungszeit von php Skripten (ein parameter in der php.ini) mit den Ordnerrechten und FTP zu tun hat.

PS:
Wenn Du auf dem Server root Rechte hast kannst Du das auch gleich richtig machen.

Wer sagt denn das der Aufruf eines Skriptes zwingend über den Webserver erfolgen muss? Es gibt noch andere Skripte ausser php Dateien. Zudem kann er wenn er schon Dateien anlegen kann diese auch verschieben. Um es etwas verständlicher zu machen: Das Skript das er ausführt muss ja nicht zwingend im geschützten verzeichnis liegen,
dennoch kann er schreiben darauf zugreifen.
Über Skripte ist es auch möglich auf Verzeichnisse zuzugreifen die Überhaupt nicht im Webroot des Webservers liegen - über http:// also gar nicht erreichbar sind. Und da liegt das Problem mit dem "von nebenan".

Das von nebenan beziet sich darauf das es unter Linux bestimmt User gibt die in Gruppen zusammengefasst sind. Nun werden bei Servern die unter diesem "wwwrun" Problem leiden sehr oft alle Sktipte unter einem einzigen User (webserver) ausgeführt.
Werden über FTP Dateien hochgeladen gehören die einem anderen User. Daher stammt das Problem. Gibst Du nun den Ordner mit 777 frei kann jeder User auf dem System schreibend zugreifen. Für den Webserver User gibt es Mechanismen (z.B. openbasedir) in php um die User gegeneinander abzuschotten. Das sind alles nur Hilfsmasnahmen die von den Angreifern oftmals mit mehr oder weniger Aufwand umgangen werden. Über php Skripte kann dann im schlimmsten Fall auf alle Userverzeichnisse aller Kunden zugegriffen werden.

Es kam in der Vergangenheit schon öfter vor das ein Server komprimitiert wurde, z.B. über veraltete Skripte auf einem Account. Der Eindringling hatt jedoch nur ein "unterpriviligiertes" Userkonto mit dem eigentlich kein Zugriff auf andere Dateien möglich sein sollte. Dank der tollen Idee die Ordner mit 777 zu versehen hat er dann auch gleich schreibzugriff auf Verzeichnise die er mit 755 nicht hätte. Gleiches gilt wenn eben jene Mechanismen ausgehebelt werden die der Webserver bzw. die Skriptsprachen mitbringen um die Accounts voneinander zu trennen. Dann hat er die rechte des Webservers - und der darf dann auf alle Verzeichnisse schreibend zugreifen wenn 777 oder wenn die verzeichnisse Dateien mit einem php Filemanager erstellt wurden.

Warum keine Perl Skripte? Bei vielen Hostern ist das möglich.

Zitat von addi

Es liegt im geschützten Bereich, denn darauf wurde es hochgeladen.

Wenn man Scripte hochlädt, kann man sie noch dann nicht verschieben, wenn ein Verzeichnis geschützt ist. Auch kann man nach dem Upload den Filetyp prüfen, leider prüfen viele Filemanager nur die Extensions, wobei möglich wäre, mal die ersten Zeilen einer Datei auf <? oder <?php zu testen und zu löschen.

Wenn Du einen Ordner mit 777 hast und den per htaccess Schützt kann der vom Webserver nur gegen ein Passwort abgefragt werden.
Wenn in dem Ordner jedoch schon Dateien liegen die können diese z.B. manipuliert werden, dann wird spätestens beim rechtmässigen Ausführen Dein Webspace komplett kompromitiert. Wenn es einem Angreifer jedoch möglich ist sowas zu machen gibt es auch einfachere Wege.

Du kannst jede Datei unabhängig vom htaccess Schutz kopieren, löschen oder verschieben wenn du Schreibrechte auf den beteiligten Verzeichnissen hast.
Nur wenn Du versuchst über den Webserver von extern auf die Datei zuzugreifen kommt eine Passwortabfrage.