[PHP] Server per Skript hacken?
- Ersteller DS_BoneDaddy
- Erstellt am
DS_BoneDaddy
Grand Admiral Special
Hallo Leute!
Ich war ein wenig verwundert heute morgen, als mein Host mir einfach so den Server abstellte und meinte, dass meine Skripte fehlerhaft programmiert wären und so der Server und die Daten von außen hackbar wären. Dies würde das gesamte System meines Hosts gefährden und deswegen sei der Server vom Netz genommen worden.
Ich wurde weiter in die Technik geleitet, die mir dann sagen sollten, was mit den Skripten denn nun falsch sei. Derzeit ist dort Mittagspause.
Es ist mir noch nie zu Ohren gekommen, dass man durch einen Skriptfehler zugriff auf einen ganzen Server bekommt. Die selben Seiten hatte ich vorher über 1 Jahr bei Domain-Factory laufen und die haben nie etwas in dieser Richtung gemeldet.
Meine Frage:
Ist da nun was dran oder will mich mein Host abzocken? Hat PHP wirklich derartige Bugs, dass man zugriff auf einen ganzen Server und von dort auf ein ganzes Netzwerk hat?
Leider habe ich momentan nicht mehr fakten, sobald ich mehr erfahre, werde ich das hier posten.
mfg
Roman
Ich war ein wenig verwundert heute morgen, als mein Host mir einfach so den Server abstellte und meinte, dass meine Skripte fehlerhaft programmiert wären und so der Server und die Daten von außen hackbar wären. Dies würde das gesamte System meines Hosts gefährden und deswegen sei der Server vom Netz genommen worden.
Ich wurde weiter in die Technik geleitet, die mir dann sagen sollten, was mit den Skripten denn nun falsch sei. Derzeit ist dort Mittagspause.
Es ist mir noch nie zu Ohren gekommen, dass man durch einen Skriptfehler zugriff auf einen ganzen Server bekommt. Die selben Seiten hatte ich vorher über 1 Jahr bei Domain-Factory laufen und die haben nie etwas in dieser Richtung gemeldet.
Meine Frage:
Ist da nun was dran oder will mich mein Host abzocken? Hat PHP wirklich derartige Bugs, dass man zugriff auf einen ganzen Server und von dort auf ein ganzes Netzwerk hat?
Leider habe ich momentan nicht mehr fakten, sobald ich mehr erfahre, werde ich das hier posten.
mfg
Roman
Das kann schon sein.
PHP ist sehr "mächtig" und kann bei unsachgemäßer Handhabung solche Sicherheitslücken öffnen.
Wenn du z.B. dateien per URL angibst (http://www.beispiel.de/index.php?datei=test)
kann man eventuell per
Zugriff auf andere Dateien
erhalten, die eigentlich gar nicht dafür vorgesehen sind.
Falls dir Peter Huth was sagt kannst dich ja an seine "Panne" erinnern, er hatte genau dieses Problem
Aber auch per gefälschten POST/GET-Methoden könnte sowas passieren.
Bevor du aber keine näheren Infos hast, ist das alles nur Spekulation.
Kannst ja mal bei Gelegenheit die fehlerhaften Skripte auszugsweise posten.
Shaft99
PHP ist sehr "mächtig" und kann bei unsachgemäßer Handhabung solche Sicherheitslücken öffnen.
Wenn du z.B. dateien per URL angibst (http://www.beispiel.de/index.php?datei=test)
kann man eventuell per
Code:
...index.php?datei=../../hierirgendwaserhalten, die eigentlich gar nicht dafür vorgesehen sind.
Falls dir Peter Huth was sagt kannst dich ja an seine "Panne" erinnern, er hatte genau dieses Problem
Aber auch per gefälschten POST/GET-Methoden könnte sowas passieren.
Bevor du aber keine näheren Infos hast, ist das alles nur Spekulation.
Kannst ja mal bei Gelegenheit die fehlerhaften Skripte auszugsweise posten.
Shaft99
DS_BoneDaddy
Grand Admiral Special
genau so öffne ich die verschiedenen seiten. da hab ich ja schonmal einen anhaltspunkt. habe bereits ein wenig nachgeforscht in meinen skripten und den fehler beseitigt. bin mal gespannt, wann sich einer von der technik bei mir meldet.
Es ist ja kein PHP Problem - sondern eher ein Programmierfehler, aber wird das nicht von neueren PHP Versionen abgefangen? 
Früher konnte man sich beliebig durch die Verzeichnisse bewegen [ klick4pdf ], was aber mit einer einfachen Sicherheitseinstellung seitens des Providers verhindert werden kann.
Früher konnte man sich beliebig durch die Verzeichnisse bewegen [ klick4pdf ], was aber mit einer einfachen Sicherheitseinstellung seitens des Providers verhindert werden kann.
Genau das wollte ich sagen.Original geschrieben von Orkomike
Es ist ja kein PHP Problem - sondern eher ein Programmierfehler, aber wird das nicht von neueren PHP Versionen abgefangen?
Auf PHP.net gibts da auch ganz gute man-pages bezüglich der Sicherheit von so Skripten.
Vor allem das hier solltest du dir mal anschauen.
