27apricot
Erfahrenes Mitglied
Hallo,
von einem Kunden, dem ich ein CMS programmiert habe, erhielt ich einen Anruf, dass Besucher seiner Seite beim Aufruf eine Virenmeldung bekämen. Und tatsächlich fand ich auf dem Server verschiedene Dateien (vor allem PHP, dazu zwei HTML-Dateien mit JS und eine JS-Datei) und Verzeichnisse, die nichts mit mit meinem CMS zu tun haben. Diese Dateien und Verzeichnisse liegen an verschiedenen Stellen, nur eine davon in einem Verzeichnis, in das der Betreiber der Seite im internen Bereich Dateien hochladen kann – allerdings werden dort von meinem Script nur Bild-Dateien (JPG/GIF/PNG) zugelassen. Eine Einbindung der fremden Dateien in meine Scripte ist zudem nicht auffindbar.
Der interne Bereich ist nirgends öffentlich verlinkt und mit einer einfachen Session-basierten Anmeldung zugangsgeschützt. Im Frontend gibt es keinerlei Formulare, über die Dateien auf den Server geladen werden können. Die Scripte liegen auf einem Server bei 1und1, auf dem Safe-Mode Off ist. Sämtliche Verzeichnisse des CMS haben die Zugriffsrechte 755, die Dateien 644. Auch die Verzeichnisse, in die der Betreiber der Seite Dateien laden kann, sind auf 755 gesetzt.
Dieses Problem ist bisher noch nirgendwoanders aufgetaucht. Das CMS wird inzwischen unter ca. 10 verschiedenen Domains genutzt. Allerdings liegen die in der Regel bei Providern, auf deren Servern der Safe-Mode angeschaltet ist. Dort muss ich auch die Upload-Verzeichnisse auf 777 setzen.
Kann diese Sicherheitslücke in meinen Scripten liegen oder liegt das am ausgeschalteten Safe-Mode auf dem Server? Grundsätzlich: ist es unklug, die Upload-Verzeichnisse, in die aus dem internen Bereich Dateien geladen werden können, auf 777 zu setzen?
Vielen Dank im Voraus und schöne Grüße,
27apricot.
von einem Kunden, dem ich ein CMS programmiert habe, erhielt ich einen Anruf, dass Besucher seiner Seite beim Aufruf eine Virenmeldung bekämen. Und tatsächlich fand ich auf dem Server verschiedene Dateien (vor allem PHP, dazu zwei HTML-Dateien mit JS und eine JS-Datei) und Verzeichnisse, die nichts mit mit meinem CMS zu tun haben. Diese Dateien und Verzeichnisse liegen an verschiedenen Stellen, nur eine davon in einem Verzeichnis, in das der Betreiber der Seite im internen Bereich Dateien hochladen kann – allerdings werden dort von meinem Script nur Bild-Dateien (JPG/GIF/PNG) zugelassen. Eine Einbindung der fremden Dateien in meine Scripte ist zudem nicht auffindbar.
Der interne Bereich ist nirgends öffentlich verlinkt und mit einer einfachen Session-basierten Anmeldung zugangsgeschützt. Im Frontend gibt es keinerlei Formulare, über die Dateien auf den Server geladen werden können. Die Scripte liegen auf einem Server bei 1und1, auf dem Safe-Mode Off ist. Sämtliche Verzeichnisse des CMS haben die Zugriffsrechte 755, die Dateien 644. Auch die Verzeichnisse, in die der Betreiber der Seite Dateien laden kann, sind auf 755 gesetzt.
Dieses Problem ist bisher noch nirgendwoanders aufgetaucht. Das CMS wird inzwischen unter ca. 10 verschiedenen Domains genutzt. Allerdings liegen die in der Regel bei Providern, auf deren Servern der Safe-Mode angeschaltet ist. Dort muss ich auch die Upload-Verzeichnisse auf 777 setzen.
Kann diese Sicherheitslücke in meinen Scripten liegen oder liegt das am ausgeschalteten Safe-Mode auf dem Server? Grundsätzlich: ist es unklug, die Upload-Verzeichnisse, in die aus dem internen Bereich Dateien geladen werden können, auf 777 zu setzen?
Vielen Dank im Voraus und schöne Grüße,
27apricot.