RootForum Community

Hallo,

ich möchte mal testen wies mit der Sicherheit meines Servers aussieht!

-> Ich habe eine Datei und einen Ordner die beide die Rechte 777 haben. Ist es für einen Fremden jetzt möglich eine telnet Verbindung zu meinem Server auf Port 80 aufzubauen und diese Sachen zu verändern ??


Greez

d2k.berlin wrote:Hallo,

ich möchte mal testen wies mit der Sicherheit meines Servers aussieht!

-> Ich habe eine Datei und einen Ordner die beide die Rechte 777 haben. Ist es für einen Fremden jetzt möglich eine telnet Verbindung zu meinem Server auf Port 80 aufzubauen und diese Sachen zu verändern ??

Das könnte man wesentlich leichter beantworten wenn Du die Domain verraten würdest. Per Telnet auf port 80 geht in jedem Fall, aber dann musst Du halt HTTP reden/tippen da der Apache eben dies erwartet.

NaJa ...

das ist ja genau die Frage: wie sieht denn der Syntax davon aus ?

-> Wie kann ich denn per Telnet dem Apachen sagen "Hallo Apache kannst du mal bitte in diese Datei das reinschreiben" ????

<- Ich habe es mal so probiert:
1) telnet meinedomain.de 80
2) GET / HTTP/1.1
3) PUT *** ?

Also das hat schon so alles geklappt aber wie sieht der Syntax des PUT oder POST Befehls da aus *** ... damit sollte es doch gehen oder ?

Greez

d2k.berlin wrote:NaJa ...
Also das hat schon so alles geklappt aber wie sieht der Syntax des PUT oder POST Befehls da aus *** ... damit sollte es doch gehen oder ?

Greez

Willst du hacken lernern oder deinen Server sicher machen?

Oh mein ...

Man man man ich will nur testen ob mein Server sicher ist ...

Also kann mir da keiner helfen ?


Greez

R T F M ...

sorry, aber ist so. ;(

Wie die genaue Syntax aussieht, weiß ich nicht. Die Antwort findest du wahrscheinlich hier:
http://www.rfc-editor.org
ftp://ftp.rfc-editor.org/in-notes/rfc2616.txt

d2k.berlin wrote:Hallo,

ich möchte mal testen wies mit der Sicherheit meines Servers aussieht!

-> Ich habe eine Datei und einen Ordner die beide die Rechte 777 haben. Ist es für einen Fremden jetzt möglich eine telnet Verbindung zu meinem Server auf Port 80 aufzubauen und diese Sachen zu verändern ??


Greez

Klares *nein*

Auch wenn das Ding Telnet heisst, kann man nur das Simulieren, was man mit dem http Protokoll auch machen könnte. Direkt Dateien verändern geht also nicht! Das einzige, was man machen könnte, wäre bekannte Schwachstellen des Servers (zB. Apache, IIS) ausnutzen und somit Schaden anrichten. Dies hat dann aber nichts mehr mit Telnet, dem Webserver im allgemeinen und schon garnicht mit http zu tun.

Aha !

Wo finde ich denn Informationen dazu ?

wozu :?:

Alexander Newald:
Das einzige, was man machen könnte, wäre bekannte Schwachstellen des Servers (zB. Apache, IIS) ausnutzen und somit Schaden anrichten. Dies hat dann aber nichts mehr mit Telnet, dem Webserver im allgemeinen und schon garnicht mit http zu tun

<- DAZU !!

... um herauszufinden so mein server fehler/schwächen hat !!

Wenn Du generell Telnet aktiviert hast, brauchst Du den Server nicht sicherer machen, dann kannst Du gleich alle PWs auf Deiner Startseite veröffentlichen ....

Gruß Outi

PS: Telnet deaktivieren und schon is er wesentlich sicherer (als vorher)

apache.org

Man kann schon Dateien verändern... wenn man DAV installiert und falsch konfiguriert hat...

Solange allerdings nur n normaler Webserver läuft, kann da keiner Dateien ändern, von Sicherheitslücken mal abgesehen.

Nunja, ich gehe davon aus, dass Telnet auch ohne Sicherheitslücken gefährlich ist, da ja alles unverschlüsselt übertragen wird und in manchen Dateien stehen eben die Passwörter im Klartext drin. Wenn man die nun auf dem Server öffnet, weil man was konfigen möchte, ....

Gruß Outi

PS: Korrigiert mich, wenn ich falsch liege aber hier geht immer das Geschrei los, wenn das Wort "Telnet" fällt, da es ja eigentlich auch keine wirkliche Daseinsberechtigung (auf nem Rootie) hat ....

Der Telnet-Client ist nichts falsches - eben primstens für die schnelle Ã?berprfung von Services geeignet. Allerdings sollte heutzutage nirgendwo mehr ein Telnet-Server installiert sein, das ist wirklich gefährlich.

Insofern greift der Ratschlag an d2k.berlin, telnet zu deinstallieren, auch (zu) kurz - es sei denn, er hat einen telnetd installiert. Nur weil sich der Apache brav auf Port 80 meldet (dem ist das doch egal, ob ein Browser oder ein telnet-Client ihn anquatacht) muss nicht zwangsläufig auch ein Telnet-Server installiert sein ... ;)

GameCrash wrote:Man kann schon Dateien verändern... wenn man DAV installiert und falsch konfiguriert hat...

Solange allerdings nur n normaler Webserver läuft, kann da keiner Dateien ändern, von Sicherheitslücken mal abgesehen.

Wobei ich dann auch gleich im explorer http://dav_auf_apache eingeben kann ;-) Das ist dann einfacher!

Man kann schon Dateien verändern... wenn man DAV installiert und falsch konfiguriert hat...

Solange allerdings nur n normaler Webserver läuft, kann da keiner Dateien ändern, von Sicherheitslücken mal abgesehen.

Nicht nur mit DAV. olaf.dietsche hatte die Lösung schon gepostet:
RFC 2616, Abschnitt 9 "Methods".