We could DELETE the file '/'on your web server

[sebbus]

Hallo,

bei einem Security-Test wurde folgendes für meinen Server festgestellt:

We could DELETE the file '/'on your web server This allows an attacker to destroy some of your pages. Solution: Disable this method. Risk Factor: Serious

Was bedeutet das genau, und muss ich das ändern bzw. wie ändere ich das?

MfG, Sebbus

[goge]

Hallo,

bei einem Security-Test ...

Welcher Test war das denn?

[sebbus]

Es war der Test von Securitymetrics

https://www.securitymetrics.com/portscan.adp

[standbye]

ich hab zwar kein plan aber frag mal per email den typ der dir gesagt hat das dein ergebnis fertig ist :) die helfen eigetlich ganz gern.

btw -> der Test is ziemlich übel wär leuten die meinen ihr Server ist sicher mal zu empfehlen :) man merkt doch noch das ein oder andere bzw die ein oder andere version die n bug haben könnte:)

[dodolin]

der Test is ziemlich übel

Genau.

Und 100 pro nicht objektiv, weil die ja nur verkaufen wollen:

For a free 30-day evaluation of the SecurityMetrics Appliance

Daher spare ich mir diesen weiteren unsinnigen Test.

BTW: http://www.heise.de/newsticker/data/ola-09.07.03-005/

BTW2: Deshalb arbeite ich dran, einen gescheiten (tm) Test anzubieten, kostenlos. Dauert aber noch...

[standbye]

dodolin hastu den test schomal gemacht? ich hab schon viele sec tests gesehen aber der hier hat mich mal echt beiindruckt ;) sogar meine webseite gespidert und mir gesagt ich soll meine phpinfo dinger lösche.
Ich weis das die meisten schrott sind etc aber so mal zum testen isses nich schlecht.

edit:
auserdem wird nicht dein rechner daheim getestet sondern der server auf programmversionen etc)

@ heise -> dass hat damit ehr weniger zu tun da die systeme nicht auf deinem rechner ausgeführt werden (du musst keine seite laden etc) sondern nur das machen was jeder andere von ausern auch machen kann

[chris76]

ich hab zwar kein plan aber frag mal per email den typ der dir gesagt hat das dein ergebnis fertig ist :) die helfen eigetlich ganz gern.

btw -> der Test is ziemlich übel wär leuten die meinen ihr Server ist sicher mal zu empfehlen :) man merkt doch noch das ein oder andere bzw die ein oder andere version die n bug haben könnte:)

DAU-Frage, wie soll man das vom rooti aus anstossen?

[captaincrunch]

Ich kann dodolin nur zustimmen : es gibt kaum bessere Security-Tests als (z.B.) Nessus. Pentesting mit bestimmten Tools setzt aber vor allem voraus, dass man etwas mit den Ausgaben der Tools anfangen kann, und nicht in absolute Panik verfällt, weil einem der Scanner sagt, dass man eine "veraltete" wasauchimmer-Version einsetzt, bei der auf dem Server das Loch aber schon vor Urzeiten gestopft worden ist.

Bei kommerziellen Scannern wirst du sowieso nichts allzu sinnvolles rausbekommen, da die (wie dodolin schon sagte) verkaufen und eben nicht "helfen" wollen, und glaub mir, ich hab da schon einige gesehen.

[dodolin]

dodolin hastu den test schomal gemacht?

Ich wollte gerade, aber was die alles an Daten sammeln wollen geht auf keine Kuhhaut ist für einen solchen Test 100 pro nicht nötig. Nein danke.

sogar meine webseite gespidert und mir gesagt ich soll meine phpinfo dinger lösche.

Aha. Alles klar. Kannst du mir EINEN Grund sagen, was daran gefährlich sein soll, wenn man eine Seite mit phpinfo() online stellt? Geht davon ein Sicherheitsrisiko aus?

Der Test ist Quark, glaubs mir, ungesehen.

@ heise -> dass hat damit ehr weniger zu tun da die systeme nicht auf deinem rechner ausgeführt werden (du musst keine seite laden etc) sondern nur das machen was jeder andere von ausern auch machen kann

Du musst von einem anderen Heise-Artikel sprechen als dem von mir genannten.

[mutombo]

die jungs haben da nichtmal nen eigenen test gestrickt.
das ist nessus, allerdings haben se bei der ausgabe einige reißerische texte eingefügt.
"We could DELETE the file '/'on your web server .."
Bekommt bestimmt jeder der nen webserver laufen hat :)

[sebbus]

die jungs haben da nichtmal nen eigenen test gestrickt.
"We could DELETE the file '/'on your web server .."
Bekommt bestimmt jeder der nen webserver laufen hat :)

Soll also heissen, ich muss mir keine Sorgen machen!?

Das war nämlich der einzige fehler, der im "kritischen Bereich" Bereich war..

[standbye]

Bekommt bestimmt jeder der nen webserver laufen hat :)

hmm eben nicht . . .



dodo ich weis wir sind wieder bei "security durch obscurity" aber umso weniger jemand über meinen rechner weis etc desto besser :) <-- dran sollt eman nich seine sicherheit fest machen das hält nur scriptkiddies ab etc <-- das thema hatten wir hier zu genüge
aber phpinfo gibt halt auch versionsnummer etc raus <-- ja man würd esie auch anderst rausbekommen geb ich zu trotzdem :)

zu nessus -> ich lass nachher maln scan laufen mal sehen ob er mir mehr bringt dann bin ich ganz brav und sag nix mehr :) wenn nich flame ich hier nochn bissel rum :D
der unterschied zu den meisten andern online secuty scannern ist in dem bereich dassie genau den verkaufen :) bzw 5s cans oder so kosten 99$ und einen zum testen gibts umsonst denke also nicht das es wirklich so ein schlechter test ist.
zudem habts ihr den noch nich mal getestet also keine vorurteile ;)



wer rechtschreibfehler findet darf sie behalten!

[dodolin]

dodo ich weis wir sind wieder bei "security durch obscurity" aber umso weniger jemand über meinen rechner weis etc desto besser <-- dran sollt eman nich seine sicherheit fest machen das hält nur scriptkiddies ab etc <-- das thema hatten wir hier zu genüge
aber phpinfo gibt halt auch versionsnummer etc raus <-- ja man würd esie auch anderst rausbekommen geb ich zu trotzdem

Jepp. Muss wohl so unsicher sein, dass es sich sogar 1&1 leisten kann: http://faq.puretec.de/skripte/php/6.php ;)

Ok, wer nicht hören will... ich halte mich dann ab sofort raus aus dieser weiteren sinnlosen Diskussion.

[standbye]

dodo ich weis wir sind wieder bei "security durch obscurity" aber umso weniger jemand über meinen rechner weis etc desto besser <-- dran sollt eman nich seine sicherheit fest machen das hält nur scriptkiddies ab etc <-- das thema hatten wir hier zu genüge
aber phpinfo gibt halt auch versionsnummer etc raus <-- ja man würd esie auch anderst rausbekommen geb ich zu trotzdem

Jepp. Muss wohl so unsicher sein, dass es sich sogar 1&1 leisten kann: http://faq.puretec.de/skripte/php/6.php ;)

Ok, wer nicht hören will... ich halte mich dann ab sofort raus aus dieser weiteren sinnlosen Diskussion.

wer nichth ören will fühlt diesmal nich ;)
btw ich hab nich gesagt das es gefärhlich is es gibt nur infos raus :)