sourceserver.info

Und wieder mal haben Dead_Eye und ich etwas was ausgetüftelt, um den protection Mode bei vielen Servern auszuhebeln:
http://www.ulrich-block.de/cheat-protected-server-nr-4/

Die beschriebenen Angriffswege betreffen ja alle Angriffe von innen auf den Protection Modus. Spricht zeigen auf, was Kunden machen können, wenn man das System nicht anständig abschottet. Angriffsmöglichkeiten von Außen und solche, die nichts mit dem Modus zu tun haben, haben wir nicht, und werden auch sicher nicht publik machen.

In der Vergangenheit hatten wir die Lücken immer wieder angemahnt, ohne diese in Foren und Blogs zu veröffentlichen. Die Reaktionen waren in aller Regel Ignorieren bis hin zu Beleidigungen. Obwohl die Lücken bekannt waren, wurden sie nicht behoben und weiterhin mit einer Sicherheit geworben, die nicht vorhanden war.
Dieser Umstand und wohl auch eine gewisse Frustration darüber, wie mit konstuktiver Kritik umgegangen wurde, waren maßgeblich dafür, dass wir die kleineren Exploits veröffentlicht haben.

Des Weiteren handelt es sich nur um kleinere Exploits, die mit sehr einfachen Handgriffen leicht zu verhindern sind. Wirklich gefährliche Dinge, wie ein Shell Plugin würde ich sicherlich nicht veröffentlichen.

Zu dem Spruch "Wenn man keine Ahnung (...)":
Hast du dir mal die Mühe gemacht, den letzten Artikel genauer zu lesen? Anscheinend ja nicht. Dort wird beschrieben, wie man an eventuellen FTP Regeln vorbei Änderungen vornehmen kann. Wenn diese Änderungen dann ohne weitere Überprüfung vom Panel ausgeführt werden, hat dessen Entwickler geschlafen. Afaik werden solche Prüfungen bei den meisten Hostinglösungen nicht gemacht.

Von diesem Angriffspunkt ausgehend kann man das System dann nach belieben vorbereiten, so dass es reichlich egal ist, was im protection Mode, bzw. dem Ordner für selbigen passiert.

Die Forumilierung von Dead_Eye war vielleicht etwas unglücklich formuliert. Besser wäre es gewesen zu schreiben:

Zitat

Generell kann man sagen, dass Hoster, die die Webinterfaces Teklab und MY-WI einsetzen, im Regelfall über das Interface hinaus keine weiteren Absicherungsmaßnahen getoffen hatten, und deswegen zu unserem Testzeitpunkt offen wie ein Scheunentor waren. Die fraglichen Tests sind erst diese Woche gewesen.

Wie Behaartes Etwas bereits angedeutet hat, gibt es dazu noch andere Ansatzpunkte, die von dem FTP Server losgelöst sind und bereits von so manchen Servercheat auch eingesetzt werden.

Bei manchen Angriffsmöglichkeiten hilft es nur, sehr gründlich bei jedem Serverstop und Serverstart aufzuräumen.

Das nächste mal bitte gründlich Lesen, bevor man einen solchen Ton anschlägt.

Wo soll ich ich geschrieben haben, dass mein Interface nicht davon betroffen ist? Ich kann mich nicht erinnern, einen solchen Satz formuliert zu haben und kann auf die Schnelle auch keinen Beitrag mit solchem Inhalt finden. Wenn man sowas behauptet, dann sollte man auch gleich die Quelle angeben.
Dazu ist der Inhalt auch so nicht richtig. Auch bei einer eventuellen Modifikationen der Dateien ohne FTP Regeln wird diese vor jedem Serverstart rückgängig gemacht.

Die Meinung verbieten wir dir sicher nicht. Uns stört vor allem, dass du von Anfang an ausfallend bist und die Beiträge schon dicht an Beleidigungen dran sind.

Ich habe dir keine Lüge unterstellt, sondern wollte lediglich eine Fundstelle haben, damit ich gegebenenfalls eine Textpassage so umformulieren kann.

Was das Informieren betrifft machen wir uns sicher nicht die Mühe, jeden kleinen Hoster einzeln anzuschreiben. Vor der letzten Veröffentlichung wurde ein ESL Verantwortlicher gebeten, es weiterzugeben.
Wie nun mehrfach geschrieben, wurden die restlichen Exploits schon lange vor der Veröffentlichung in einschlägigen Foren und Mailinglisten angesprochen.

Die Frustration bezog sich auch eher auf das Thema, beleidigt zu werden, obwohl man so freundlich ist, das vorher anzukündigen.

Wie Dead_Eye bereits schrieb, ist es im Software Bereich Gang und Gebe Exploits zu veröffentlichen und im Regelfall gleich einen Workaround bzw. Lösung zu präsentieren. Wenn man dann noch dazu sagt, dass so etwas strafbar ist und jemand es dennoch auf einem System ausprobiert, das nicht sein eigenes ist, dann ist es nicht unsere Schuld.

In einer Reportage heißt es auch ab und zu mal, "in dem Park XY wird derzeit viel die Droge ZZ verkauft und die Polizei ist relativ machtlos". Dazu gibt es dann noch ein paar Filmchen, die alles dokumentieren. Würdest du auf die Idee kommen, die Autoren dieser Reportage dafür verantwortlich zu machen, wenn jemand deswegen dort sich nun eine krümelartige Substanz besorgt?