Suche

[bradersim]

hallo freunde ! ich glaube, dass man mit dem hochladen eines php-skriptes über my_egallery zu den config.php dateien gelangt. seit gestern ärgert mich einer unserer user, mit der bekanntgabe von config.php dateien. er hat definitiv keine adminrechte. obwohl ich mehrmals die daten änderte, gelingt es ihn immer, alle config.php dateien auszulesen. ich fragte ihn nach seiner methode. er behauptete über einen webcrawler ftp den config.php downzuladen. auch ftpdaten wurden meinerseits mehrmals geändert.

ich glaube, dass er über ein selbsterstelltes ausleseskript. (möglicherweise mit der zieladresse des config.php) es schafft an diese daten ranzukommen. seine bilder einträge, die unter dem namen mehmet.php 2xmal hochgeladen werden sollten (auf freischaltung warteten) habe ich im ersten moment ohne jegliche überlegungen dahingehend gelöscht. es ist mir erst im nachhinein aufgefallen, dass er nur über diesen weg an die config.php kommen kann. obwohl seitens des admins keine freischaltung erfolgt, reicht es schon, wenn das skript auf dem server angekommen ist. ich mache mir langsam sorgen. ich habe mal sicherheitshalber bei allen modulen, die option zum hochladen von mitgliederen ausgeschaltet. warten wirs mal ab, was passiert ?

beste grüsse,
bradersim

[munzur]

hehe

was ist wenn du den Temp ordner von myegallery verschiebst bzw unbenennst damit er den pfad der  datei nciht raus kriegt

das wars mal vorerst von mir, will nicht will zu viel sagen

l.g

[bradersim]

danke dir für deine antwort munzur. nur erfüllt die ausschaltung über die my-egallerykonfiguration die selbe aufgabe. es ist ja auch nicht nur my_egallery. er könnte ja theoretisch gesehen über coppermine, avatar etc. sein skript problemlos auf den server bringen. das problem muss an den wurzeln gepackt werden... die frage ist nur wie?

[munzur]

ich denke aber nciht das er *.php dateien hochladen kann!
das ist vom script aus nciht möglich sowas upzuloaden!
standart ist ja: *.jpg, *.jpeg, *.gif und *.png denke ich mal


und wenn man vesucht eine *.php oder was auch immer hochzuladen sollte es nciht gehen bzw wenn es geht hat die datei meiner meinung nach keine endung also ohne *.bla


naja wart mal was die anderen sagen

ps: kannst ja von den temp ordner die lese rechte nehmen und die schreib rechte lassen

[Andi]

Hi

irgendwie kann ich mir das alles nicht vorstellen, aber man weiss ja nie...

Wartet mal bitte, bis Jubilee aus seinem Geburtstagsrausch wieder aufgewacht ist. Hier ist er der Spezialist

[jubilee]

Hallo !
Erstmal und BTW: Alle Verzeichnisse auf dem Webserver die world-writeable gesetzt sind (also chmod 666 oder 777) sind ein Sicherheitsrisiko da gibt es kein wenn und aber. Das ist auch ganz unabhängig von der jew. Anwendung oder Script.
Des weiteren ist ein Upload eines Scriptes über die Uploadfunktion denkbar wenn der User es geschickt anstellt. Soweit sieht es aus, wenn man die Funktionen einmal genau durchsieht. Werde mich mal um einen Fix bekümmern.
Bis dahin empfehel ich allen in der My_eGallery das Posten von Bildern für Gäste (anonyme Besucher) ganz abzuschalten und für
Angemeldete User nur dann, wenn man diesen auch trauen kann.
MfG
jubilee

[Andi]

uuups    

Ich verschiebe mal in das Sicherheitsproblem-Forum.

wichtige Info von Jubilee:
 //modules.php?name=News&file=article&sid=513