Normal, dass ich das mit PHP/Apache kann?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Normal, dass ich das mit PHP/Apache kann?

    Nabend

    Ich bin seit längeren bei einem bekannten Provider. Ich habe nun letztens aus Jux nen kleines Browser-PHP Script geschrieben, mit dem ich durch die Server Strukturen gehen kann und mir die Dateien angucken kann, soweit ich die Berechtigung dazu habe.

    Zu meiner Überraschung konnte ich sogar ziemlich viel zählen, nämlich das ganze root verzeichnis, mit unterverzeichnissen, bildern usw.
    Dadurch kann ich schon recht viel über den Server herausfinden. Über die /etc/passwd kann ich dann schön gucken wer alles nen Account auf dem Server hat und wie sein Realname ist.
    Weiterhin gibt es Unterverzeichnisse für jeden User, in dem Userspezifische php.ini Dateien liegen, die ich auch, egal von wem, angucken kann. IMHO ist das eine Goldgrube für Hacker, besonders da dies alles theoretisch ja über das freie Web erreichbar wäre (wenn ich das Script da in meinem Userbereich öffentlich machen würde).

    Ist das normal, dass ich all diese schönen Dinge sehen kann? Gibt es mit Apache/PHP keine besseren Konfigurationsmöglichkeiten? Ich würde mir nur mal gerne ein paar Meinungen dazu anhören, damit ich dem Provider ggf. eine EMail mit Argumenten schicken kann, da ich selber nicht weiß, ob es überhaupt möglich ist es besser zu Konfigurieren. Wenn nicht wäre das ja auch schon ein wenig gefährlich von Apache/PHP (von wem auch immer) aus.

    Danke für eure Infos/Meinungen,

    Click
    Du kannst jeden Tag wie deinen letzten leben, du musst nur jeden Tag das Gleiche tun.

    Denk' mal drüber nach!

  • #2
    Ich bin seit längeren bei einem bekannten Provider.
    Du meinst Hetzner Online AG?

    Was ist schon normal .. Normal ist auch nur ein definierter Zustand Aber als User sollte man auf solche Daten keinen Zugriff haben. Das hört sich für mich nach einem Berechtigungsproblem an.

    mfg
    bugbuster
    tutorial: peterkropff.de schattenbaum.de tut.php-quake.net
    documentation: php.net mysql.com framework.zend.com

    Die Nachtwache!

    Kommentar


    • #3
      Shared Hosting ist halt ein Flickenwerk. Da kann man machen was man will, dass sind alles immer nur Komrpomisslösungen zwischen Aufwand und Sicherheit. Solange ein Kunde eben maximal 2,50 EUR im Jahr für Domain und Webspace zahlen will, wird sich da auch nicht viel dran ändern. Irgendwann neulich gabs ein LinuxUser-Special nur über Sicherheit. Da wurde das mal komplett durchgekaut.
      [FONT="Helvetica"]twitter.com/unset[/FONT]

      Shitstorm Podcast – Wöchentliches Auskotzen

      Kommentar

      Lädt...
      X