[php] OT ct Artikel Unsichere Webhoster

[Jens Franke]

On Tue, 2 Jul 2002 21:42:01 +0200, you wrote:

>Hallo Liste,
>
>ich habe das Problem, daß auch bei unserem Server, wie im Artikel der
>letzten ct beschrieben, die Tore weit offen stehen.
IMHO würde ich das nicht unbedingt als "die Tore weit offen"
bezeichnen.

1. Muss der "Angreifer" selbst Kunde beim Provider sein, wenn man
natürlich anonym ein Account bekommen kann (Freespace Provider) dann
gilt die Aussage "die Tore weit offen" schon.

2. ist eine lesbare httpd.conf als Kunde manchmal sogar ein Vorteil *g

3. stehen in der passwd so gut wie nie Passwörter da /etc/shadow
benutzt wird, und selbst wenn, dann sind da nur die hashes; wobei man
sich natürlich die Datei lokal speichern und per Brute Force angehen
kann.

heftig ist natürlich wenn die Dateien auch writeable für other sind


>Unser Provider hat das Problem bis jetzt leider nicht wirklich gelöst.
safe_mode z.b. ist nicht immer das gelbe vom Ei, php als cgi auch
nicht

>Nun sind wir auf der Suche nach einem neuen Dienstleister.

Ich arbeite teilweise auch für eine Agentur als freier Programmierer,
haben auch einen eigenen Server mit 20-30 Domains, keine privat, nur
Business Kunden; lt. ct wohl auch "die Tore weit offen". Wobei die
Kunden teilweise nicht mal ftp Zugang haben, da Design und
Programmierung von der Agentur gemacht wird. Ich glaube kaum, dass da
einer der Kunden sich auf Computer Sabotage einlassen würde.

bye,
Jens