kostenloser Webspace werbefrei: lima-city

Chmod Befehle

lima-cityForumDie eigene HomepageSicherheit im Internet

angriff bild datei endung entsprechen falsche datei fertige software file frage gedanke http jagen sagen schaden sicherheit unterseite url verschicken verstecken video
  1. Autor dieses Themas

    l*********l

    16:54, 23.2.2011
    Hallo,
    Ich möchte meine Seite nun etwas sicherer machen, da sie in letzter zeit 2x Gehackt wurde. siehe(http://www.lima-city.de/thread/schon-2-hack-auf-meine-website)

    Meine Frage Also:
    Auf welche Rechte muss ich meine Start und Unterseiten Setzen damit sie sicher sind?
    Und ich habe ein Anoym E-mail Verschicken und ein Datei Upload Script, jetzt weiß ich auch dass die hacker über mein altes unsicheres php upload script auf meinen webspace zugreifen konnten. Was muss ich dabei beachten\ muss ich auch da irgendwas ändern damit es sicherer wird?

    Ich habe die Rechte aller seiten bis auf das anonym e-mail verschicken und das dateiupload script auf 444 gesetzt, Also:

    Owner: X Read Write Execute
    Group: X Read Write Execute
    Everyone: X Read Write Execute

    ( das X Steht für das häkchen)
    und meine Frage ist jetzt sind die Rechte 444 sicher? wenn nein welche soll ich sonst verwenden?

    Meine Website: http://lars-marcel.lima-city.de

    Danke!

    Beitrag zuletzt geändert: 23.2.2011 17:29:53 von lars-marcel

  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. burgi

    Co-Admin Kostenloser Webspace von burgi

    burgi hat kostenlosen Webspace.

    17:24, 23.2.2011
    Da dieses Thema nicht rein auf Lima bezogen ist, sondern allgemein das Thema Sicherheit der eigenen Homepage behandelt wird:
    verschoben nach Sicherheit im Internet

    Beitrag zuletzt geändert: 23.2.2011 17:24:36 von burgi

  4. sneppa

    Kostenloser Webspace von sneppa

    sneppa hat kostenlosen Webspace.

    9:07, 24.2.2011
    Guten Morgen,

    da du auf den anderen Thread nicht geantwortet hast, blieb dort noch immer die Frage offen, ob du ein CMS nutzt.
    Nunja, deine Seite sieht mir nicht danach aus.

    Ich gehe davon aus, dass der Angriff keinen Falls über FTP stattgefunden hat,
    außer du hast mal einem Freund dein Passwort gegeben,
    das führt ja leider oft zu so etwas...
    Daher würde ich die Rechte der Verzeichnisse im ersten Schritt vernachlässigen (755 wäre ok).

    Ein ganz neues Licht wirft das Uploadscript auf deine Seite ;)
    Leider ist dieses momentan nicht online,
    aber ich gehe davon aus, dass dieses erlaubt PHP Scripte hoch zu jagen?
    Die Variable $_FILES['userfile']['name'] kannst du ja einfach mit substr() auf die letzten 3 Zeichen kürzen, die ja dann der Dateiendung entsprechen.
    Und dann erstellst du eine Whitelist, mit den erlaubten Uploadformaten (jpg, gif, jpeg, png, txt, etc) und vergleichst diese mit der Endung der hochgeladenen Datei,
    damit keine Fremdsoftware hochgeladen werden kann.

    Wenn du den Upload schon raus nimmst, dann auch richtig ;)
    Ich habe ihn nur durch einfaches ausprobieren gefunden...
    Es ist sehr nett, dass Lima Vorschläge nennt, wenn man eine falsche Datei angibt:
    http://www.lars-marcel.lima-city.de/upload.php

    und genau hier liegt der Fehler:
    http://www.lars-marcel.lima-city.de/upload/
    Ich darf hochladen, was ich möchte und kann somit mit Scripten deine index verändern.

    Bei deiner Pinnwand und dem Gästebuch solltest du mit einem einfachen mysql_real_escape_string() arbeiten,
    das sollte soweit für die Scriptkiddies reichen.

    Beitrag zuletzt geändert: 24.2.2011 9:11:44 von sneppa

  5. e******n

    10:43, 24.2.2011
    ich muss aber sagen, das auch jpg dateien nicht sicher sind, denn in diese Bildern kann man ebenfals gut Quelcode verstecken der die Website lahmlegt.

    hierzu mal ein video :

    http://cyb.de/local-file-incluion-lfi-blackhat-auch-fur-seos/

    in diesem Video sieht man schön wie das ganze abläuft

    ansonsten noch 2 Videos zum Thema SQL Injection, könnte auch nicht schaden wenn du es dir mal anguckst :)


  6. sneppa

    Kostenloser Webspace von sneppa

    sneppa hat kostenlosen Webspace.

    11:09, 24.2.2011
    excision schrieb:
    ich muss aber sagen, das auch jpg dateien nicht sicher sind, denn in diese Bildern kann man ebenfals gut Quelcode verstecken der die Website lahmlegt.

    hierzu mal ein video :

    http://cyb.de/local-file-incluion-lfi-blackhat-auch-fur-seos/


    Muss ich mir mal heute Abend anschaun,
    ist sicherlich interessant, da ich mir beim Schreiben schon Gedanken gemacht habe,
    ob das nicht auch möglich sei ;)

    Gehen wir aber davon aus, da es eine fertige Software ist, dass diese es unterbindet :)

    Beitrag zuletzt geändert: 24.2.2011 11:12:50 von sneppa

  7. e******n

    11:11, 24.2.2011
    mach das ;) das ganze ist auch recht interessant

  8. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

lima-city bietet dir kostenlosen und werbefreien Speicherplatz für Deine Homepage. Sofort anmelden und direkt loslegen mit Webspace, PHP, Datenbanken, günstigen Domains und einer tollen Community!

Login zum Webhosting ohne Werbung!

Hast Du schon kostenlosen Webspace oder bist Du auf der Suche nach WordPress-Hosting mit Staging-Funktion und wp-cli? Jetzt günstige Prepaid Domains registrieren!