Hetzner + Shared Hosting + SSH = Fail
Folgendes Problem habe ich gestern schonmal auf Twitter angemahnt und heute dem Hetzner-Mailsupport verraten. Wer sich ein Hostingpaket bei Hetzner bestellt, bei dem ein SSH-Account dabei ist, der sollte sich unbedingt man den “/usr/home”-Ordner ansehen. Dort sind alle Kundenverzeichnisse des Servers abgelegt, auf dem man sich befindet.
SSH-Vollzugriff
Bei meinem alten Hoster musste ich noch umständlich eine Perl-Shell bemühen, um soweit zu kommen. Bei Hetzner bekommt man diesen Zugriff für ein paar Euro frei Haus geliefert.
Aber zumindest etwas hat sich getan. Gestern waren noch ein paar mehr Ordner ungeschützt. Dies scheint sich geändert zu haben, nachdem ich den Support heute Mittag auf dieses Problem angesprochen hatte.
Geteilte Grüße, Kenny
Ähnliche Artikel:
- [Update] Shared Hosting: Angriff auf Sessions möglich
Wie ich ja angekündigt hatte, gibt es nun den schon lange geplanten Artikel zu einem größeren Sicherheitsproblem. Meiner Erkenntnis nach, könnte diese Lücke alle Shared Hosting Kunden betreffen - auch solche bei Reselling-Anbietern! Das Problem bei... - Hetzner und das SSL-Problem
Gestern habe ich davon erzählt, dass ich im Moment dabei bin, zu Hetzner umzuziehen. Wenn ihr mich heute fragt, würde ich sagen, dass das ein riesengroßer Fehler war! Wieso? Weil Hetzner - mit zigtausend Kunden - nicht einmal in der Lage ist, SSL... - Hetzner und SSL: Was lange währt…
In den letzten Tagen habe ich viel über den Hoster Hetzner geschimpft. Mehrfach wurde mir von deren Support mitgeteilt, dass einige Mehrkosten auf mich zukommen würden, wenn ich für alle meine Domains SSL einrichten lassen würde. Nicht nur das! Auch... - [Update] Firefox: 4GB Plugin-Updates
Gerade hat sich Firefox bei mir gemeldet und mir verraten, dass es ein paar Plugin-Updates gibt. Updates gestartet... aber was ist das?! Jedes Plugin will plötzlich 4 Gigabyte an Daten herunterladen! :-( [caption id="attachment_4172" align=... - [Update] Wieder ungesicherte Passwörter – bei SIPGATE
Wir hatten das Problem erst vor ein paar Tagen: ungeschützt abgelegte Passwörter. Nein, tut mir leid, für solche Fehler gibt es einfach keine Entschuldigung. Dieses Mal durfte ich erfahren, dass auch bei sipgate die Kundenkennwörter ungeschützt in...
Perl-Shell? Die hast du dann über den Webserver aufgerufen? Funktioniert das bei Hetzner (als nächstes)? Kann dir eine mailen, falls grad nicht greifbar. Eigentlich müssten die inzwischen alle suexec o.ä. verwenden.
Mit dem Absatz ueber die Perl-Shell meinte ich eigentlich: bei meinem alten Hoster musste ich eine Perl-Shell nutzen, um aus dem eigenen Verzeichnis auszubrechen. Bei Hetzer bekommt man fuer ein paar Euro einen SSH-Account, ueber den man das viel einfacher hinkriegt. Problematisch wird dies genau dann, wenn die anderen Kunden keine Ahnung haben, was sie mit falschen Zugriffsrechten alles anrichten koennen. Sprich: Dass sie dadurch fremden Kunden die Moeglichkeit geben, ihre Daten auszulesen.
P.S.: Nicht ueber die Umlaute wundern. Sitze gerade mal wieder an einer QWERTY-Tastatur.
Das mit dem alten Hoster hab ich auch verstanden. Aber vielleicht funktioniert’s bei Hetzner ja auch? Oder nachdem die die aktuelle Lücke geschlossen haben. Dass die Gruppe überall Mail heißt ist doch schonmal verdächtig, oder? Vielleicht läuft der Webserver auch als “Mail”? Den Mailserver wird man kaum zur Ausführung von Perl bringen können.
Bist in den USA?
Nein, bin nicht in den USA. Saß zuhause am Server und habe darüber die Nachricht geschrieben.
Kann mir die Sache ja bei Gelegenheit nochmal genauer ansehen. Derzeit habe ich allerdings erstmal damit zu tun, irgendwas ordentlich aus der derzeitigen verfahrenen Situation zu machen.