Aus privater Quelle, einem Hetzner Kunden, habe ich mitbekommen das bei Hetzner ein großer Fehler in der Rechtevergabe und Sichtbarkeit anderer Kunden vorhanden ist.
Ziemlig plump gemacht das ganze, ich kann euch mitteilen das ich selber das ganze noch besser abgesichert habe.
Mit nur ein paar simplen PHP Befehlen wie scandir, file_get_contents, fopen, fread und fseek konnte man fast auf alle Dateien zugreifen. Nur nicht auf die, die generell von dem User root automatisch erstellt wurden.
Die formschöne aptitude Logdatei, dazu die dpkg Logdatei.
Eine ausgediente httpd.conf von Apache, dazu die mods-enabled Datei.
Ein paar Gruppen und User gehören auch dazu!
Mysql darf nicht fehlen: mysql cnf
php.ini aus dem normalen cgi Ordner und aus /usr/local/hetzner/etc/php5.ini
Wie sieht es in / aus? So!
Auch hat es mich interessiert, welche Programme installiert sind, da hätten wir /bin /sbin /usr/bin /usr/sbin /usr/local/sbin /usr/local/bin.
Und schaut euch die Configpracht an: nrpe.cfg nrpe_local.cfg postgresql.conf hosts Datei mysql.hos.cnf Wirrwarr aus wtmp zabbix_agentd.conf
Wie mag die sysctl.conf.txt wohl gefüllt sein? Findet es heraus!
Und noch die Message of the day hinterher.
Aufbau der Firewall bei Hetzner: firewall.allow und firewall.whitelist
Wie schaut so eine php.ini vom Kunden nun aus? In etwa so.
Oh mal schauen wer sich zuletzt eingeloggt hat.
Nun zu dem Datenschutz, der bei Hetzner ja groß geschrieben wird.
Nicht einmal ansatzweise.
In /usr/httpd/php-ini zeichnete sich schon die erste Kundenliste ab. Dem ganzen Krone setzt dann die in /etc liegende Datei hosaccounts.conf auf!
Schön und gut, 350 Kunden also!
Was der Webserver wohl unter der Haube hat um die Menge an Kunden zu bedienen? CPU RAM! Ein Witz.
Und jetzt der Knüller, Hetzner hat die FTP Logs offen auf deren Server rumfliegen, das ist extrem fahrlässig.
Erster Versuch mit dem Script scheiterte, man beachte die Loggröße Alte Logs aus 2011 Aktueller Abschnitt
Ich darf aber auch anmerken, das man auf extrem kritische Sachen wie die entsprechenden Dateien der Kunden immerhin keinen Zugriff hat.
Ich darf aber auch anmerken, das man extrem kritische Sachen wie die entsprechenden Dateien der Kunden immerhin keinen Zugriff hat.
Da fehlt ein „auf“:
, das man auf extrem[..]
Könntest du bitte deine Rechtschreibfehler ausbessern und Beistriche an den richtigen Stellen einfügen? Dann könnte man den Text ohne Bauchkrämpfe lesen. Danke.
schon peinlich…
350 Webseiten… kein Wunder das die so lahm sind ^^
Wo war jetzt nochmal der „Datenschutz Skandal“? Die schlechte Beitrag hält nichtmal ansatzweise, was die Überschrift verspricht.
Du kannst also ein paar Configs auslesen, mit denen du rein gar nichts anfangen kannst, ausser zu gucken – krass 😉
Du konntest aber keinerlei andere Kundendaten auslesen, von ein paar Usernamen mal abgesehen – megakrass 😉
Klar, Hetzner könnte open_basedir konsequenter durchziehen, aber „Skandal“ gibts hier wohl eher keinen.