PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Mit Perl in die Hauptverzeichnisse springen? (Webserver)



JPG
12.11.15, 09:50
Hallo zusammen

Nachdem mir von früher® noch bekannt ist das man hier immer sehr gute Antworten auf seine (Linux) Fragen bekommen hat, würde ich eine solche gerne noch einmal stellen. Vielen Dank schon mal an all jene die sich die Zeit nehmen hier zu lesen.

Konkret geht es um die Frage, ob es "normal" ist das jeder normale Kunde eines Webservers per Pearl und PHP in die obersten Verzeichnisse springen und sich deren Inhalt anzeigen lassen kann? Z.B. um von dort aus zu sehen welchen Kunden mit welchen Domains und welchen Benutzernamen angelegt sind. Zwar nur lesend, aber ich persönlich halte das alles anderes als sicher, da sich hieraus ja immerhin Informationen ableiten lassen, sie dann für Angriffe genutzt werden könnten.

Als Betriebssystem agiert ein aktuelles CentOS und ein ebenso aktuelles Plesk 12.5 als Verwaltungsoberfläche.

Mit besten Grüßen
Jan

marce
12.11.15, 10:01
Ob es "normal" ist oder nicht hängt ein wenig von der Konfiguration ab - Möglichkeiten diesbezüglich gibt es viele, chroot, Rechte, Art der Abarbeitung, ...

JPG
12.11.15, 10:09
Hallo marce

Vielen Dank für Deine Antwort. Es handelt sich hierbei um Shared-Hosting bei dem jeder Kunde diese Auflistungen vornehmen kann. Managed Server eines großen deutschen Anbieter. Meinem persönlichen Empfinden nach sollte kein Kunde die Möglichkeit haben ausserhalb seiner persönlichen Verzeichnisse zu springen, erst recht nicht in die Struktur des Betriebssystems an sich und von dort bis in die Unterverzeichnisse hinein, aus deren sich ja auch die Seiten der anderen Kunden und deren dort liegenden Dateien ableiten lassen.

Der technische Aspekt an dieser Stelle wäre sicher interessant, primär stellt sich mir aber die Frage ob dies so im Sinne des Erfinders ist oder eine Fehlkonfiguration in diesem Umfeld darstellt.

Gruß Jan

marce
12.11.15, 10:12
bei Shared-Webhosting in einer nicht-vertrauenswürdigen Umgebung würde ich das als Fehlkonfiguration ansehen.

Wobei sich die Frage stellt, was man denn genau alles sehen kann - kommt man in die Web-Verzeichnisse der anderen User wirklich lesend rein oder sieht man sie nur? Und die Verzeichnsise des Systems - je nach verwendeter Technologie braucht man die eben auch, wenn man nicht für 20000 Kunden ded. und komplette chroot-Umgebungen bereitstellen will.

JPG
12.11.15, 10:31
Du kommst in die Hauptverzeichnisse des Servers die offensichtlich über 0755 freigegeben sind. Bei den anderen Kunden kannst du deren Benutzernamen / Domain ableiten, aber nicht die Ebene in der die Webseiten direkt liegen. Grundsätzlich nur lesend, aber selbst hierüber lassen sich ja recht viele Informationen über das System insgesamt sammeln.

Kurzer Nachtrag: Der Anbieter meint das wäre vollkommen normal. :)

Nachtrag Nummer 2: Das ganze schaut dann z.B. so aus.


.
sbin
dev
.spamassassin
selinux
archives
.subversion
.cpt_hardlink_dir_a
mnt
usr
.rnd
root
var
etc
lib64
..
sys
home
migration.log
lost+found
lib
.pki
boot
srv
.vzfifo
bin
media
proc
.autorelabel
.autofsck
.viminfo
opt
tmp

DrunkenFreak
12.11.15, 10:45
Was sind die Hauptverzeichnisse? Ist das direkt / oder erst /srv/www/, worunter die Kunden sind?

Nur die DocumentRoots der anderen Kunden zu sehen, ist meiner Meinung nach kein Problem. Solange du nicht weiter rein kommst, weißt du nichts, was nicht eh schon öffentlich ist.

marce
12.11.15, 11:28
ist in dem Bereich halt immer ein Spagat zwischen Aufwand und Nutzen.

Gehen tut alles.

JPG
12.11.15, 14:36
Vielen Dank.

Damit ist wirklich das Hauptverzeichnis des Servers / gemeint, und von dort aus kann man dann - wenn man das nächste im Script angibt - auch z.B. weiter in das /root/ springen. Zwar nur lesend, aber eben überhaupt. Hab die oberste Ebene in meinen obigen Post nachgetragen. In die Verzeichnisse der anderen Kunden kann man zwar nicht, aber über die Ordnerstruktur und deren Bezeichnungen den Benutzernamen für das Login, bzw. die erste Domain die in diesem Paket aufgeschaltet ist, ermitteln.

marce
12.11.15, 14:53
/root sollte eigentlich nicht sein - bei CentOS ist das default auf 550.