Sichere Kommunikation mit dem Server

Re: Sichere Kommunikation mit dem Server

SSL/HTTPS?

HTTPS wird dir in diesem Fall nicht viel bringen, weil das Problem für mich eher konzeptioneller Natur ist. Dein Script erlaubt Uploads und dadurch wurde es einem Hacker möglich beliebige Dateien auf den Server zu laden und diese sogar auszuführen ? --> sorry aber in diesem Falle würde ich von dieser Aussage
sehr viel Abstand nehmen. Ausser du bezeichnest ein sperrangelweit offenes Scheunentor als sicher

Gruss

tobi

p.s. sicherer machst du es indem du Userdaten NIEMALS vertraust und diese auf Herz und Nieren prüfst, bevor du damit was machst.

nein. In dem Script kann man nichts Uploaden. NUr Texte und Navigation ändern..

Re: Sichere Kommunikation mit dem Server

1. finde heraus, was und wie "gehackt" wurde und berichtige es.
2. wenn der besitzer nur das gesagt hat, dann hat er gar nichts gesagt. schön worte aneinander reihen heißt noch lange nicht "problem analysieren". was "das"? woher sollen wir wissen, was "das" ist und was daran unsicher ist?

vielleicht liegt es garnicht an deinem script und der besitzer will dir nur den schwarzen peter zuspielen.

gruß
peter (der weiße)

@penizillin: Das Programm "phish" wurde heraufgeladen. Und er sagt es wäre nicht möglich das der FTP gehackt wurde sondern mein Script... Ich kenne auch nicht viel davon.. Ich kann nur PHP. Aber er müsste es ja wissen. er hat eine Firma wo sie Server und Domains anbieten.

@Kropff: Das glaub ich nicht, denn ich kenne ihn auch persönlich.

Also wenn dein Script keine Uploadmöglichkeit/Verarbeitung bietet, dann könnte der Server gehacked worden sein. Oder hast du in deinem Script irgendwelche File Includes welche auf ungeprüften Usereingaben (GET/POST) beruhen ?
Allenfalls war der FTP Zugang aber auch nur mit einem lausigen Passwort gesichert und wurde schlicht gebruteforced

Gruss

tobi

das ist doch egal und beantwortet nicht die frage nach "wie". man kann vieles sagen. ist hoffentlich kein argument. ist aber auch schnuppe.

bei diesem informationsumfang kann ich dir und deinem kollegen nur viel glück wünschen. komm wieder, wenn du eine konkrete frage hast.

hm maybe allow_url_fopen? (bzw. ab php5 allow_url_include)

ansonsten kann ich nur penizillin wiederholen:
finde heraus wie!!

ganz reine theorie:
wenn dieser besitzer schon was von phish gesagt hatte, kann das
dann sein dass er selber gephisht wurde, naja manch leute wissen
garnicht was alles die user/search/popup/toolbars und wie sie alle
heissen alles so anstellen können, also eine klientin von uns wurden
von ihrer seite die server daten dadurch geklaut und der server
stand nach ein paar stunden auf dem kopf(da waren hinterher links zu
seiten die nur verseucht waren von sachen wo die virenscanner schon
das aufrufen der seite verweigert hatten).
deswegen bin ich auch dafür gewesen dass die dame ein backend
bekommt welches eigene logins enthält aber diese selbst in falle dieses
topics könnten nicht solch rechte zurverfügung gestellt kriegen, dass
hinterher alles aussieht wie bei hempels wenn denn mal was versaut
oder geklaut wurde.
@mods & pros
lässt sich solch eine ausführung solcher scripte mit der .htaccess
verhindern, wenn ja, was ist wenn jemand die endung auf zB html
oder cgi usw ändert, besteht da auch die möglichkeit dass was
schädliches ausgeführt werden kann?