Server4Free und PhpMyAdmin Login

Rund um die Sicherheit des Systems und die Applikationen
luke
Posts: 16
Joined: 2003-10-03 16:19

Server4Free und PhpMyAdmin Login

Post by luke » 2003-10-06 23:42

Ich habe einmal die Suche durchgeblättert und nichts gefunden, daher denke ich, dass folgendes ganz interessant sein könnte.

Wenn man bei Server4Free einen Server hat und (im Normalfall ist das so) PhpMyAdmin installiert hat kann man sich unter http://<meineserverurl>/phpmyadmin/ mit dem Benutzer <meinserverpfad> ohne Passwort anmelden. Normalerweise existiert dort bereits eine Datenbank namens "test". In dieser kann man dann auch gleich Tabellen eintragen und mit Inhalt füllen. Natürlich ist dies nicht unbedingt ein Sicherheitsloch, aber ich denke jeder der einen Server betreibt sollte versuchen solche kleinen Dinge zu beheben bevor wirklich einmal etwas größeres passiert.

Alles was ich gemacht habe, damit der Login nicht mehr funktioniert war per PhpMyadmin und Rootzugriff die Tabelle "user" in der Datenbanl "mysql" zu bearbeiten und überflüssige, nicht mit Passwort versehene Einträge herauszunehmen. Außerdem habe ich noch ein paar Ã?nderungen an Confixx-Settings vorgenommen und die Passwörter geändert.

Ich habe diesen Beitrag in "Security" gepostet weil ich mir durchaus vorstellen könnte, dass sich daraus ein Problem in diesem Bereich entwickeln könnte und in "Security" vor allem die Leute lesen und schreiben die ihr System sicherer machen wollen.


Schönen Abend/Nacht noch. ;-)

Lukas

::edit:: Ich glaube ich muss meine Aussage etwas spezifizieren. Die Betroffenen Server scheinen alle im florenzXXX Bereich zu sein, also Server wie essenXXX und berlinXXX scheinen nicht betroffen zu sein

outofbound
Posts: 470
Joined: 2002-05-14 13:02
Location: Karlsruhe City

Re: Server4Free und PhpMyAdmin Login

Post by outofbound » 2003-10-07 12:23

Ich hoffe, du hast das ERST dein S4F Jungs gemeldet?

luke
Posts: 16
Joined: 2003-10-03 16:19

Re: Server4Free und PhpMyAdmin Login

Post by luke » 2003-10-07 14:09

OutOfBound wrote:Ich hoffe, du hast das ERST dein S4F Jungs gemeldet?
Ja, ich habe es gemeldet, willst du mal die Antwort sehen:
Server4Free wrote: möglicher Weise war bei Ihrem Rechner das Passwort noch gecashed. Es ist nicht möglich sich ohne Passwort in die phpmyadmin Datenbank einzuloggen.
Da, bittesehr.

::edit Auf nochmalige Rücksprache kam jetzt diese Antwort:
Server4Free wrote: Vielen Dank für Ihre Information. Nach Prüfung der Sachlage muss ich Ihnen in dieser Sache recht geben, es handelt sich hierbei jedoch wie schon bemerkt um einen "ABSOLUT" eingeschränkten Zugang der nicht missbraucht werden kann. Ich werde an unseren Technik-Verteiler eine entsprechende Email verfassen, damit wir uns beraten können ob wir wegen diesem "Problem" etwas unternehmen werden.

s4fuser
Posts: 136
Joined: 2003-06-01 01:22

Re: Server4Free und PhpMyAdmin Login

Post by s4fuser » 2003-10-07 14:34

Tatsächlich. Das funktioniert. 8O

[nix]pepe
Userprojekt
Userprojekt
Posts: 244
Joined: 2003-04-08 19:36

Re: Server4Free und PhpMyAdmin Login

Post by [nix]pepe » 2003-10-07 16:42

ich hoffe ma die machen das schnell dicht, aber ganz ehrlich wer löscht denn nicht als erstes alle vorhanden user die er nicht braucht=?

s4fuser
Posts: 136
Joined: 2003-06-01 01:22

Re: Server4Free und PhpMyAdmin Login

Post by s4fuser » 2003-10-07 18:26

Gegenfrage: Wer weiß schon als Newbie, welche User von Confixx benötigt werden?

Aber ein echtes Sicherheitsloch ist es nicht, da nur die leere DB "test" maipuliert werden kann. Trotzdem lästig, dass schon wieder eine Ã?berraschung bekannt wurde.

[nix]pepe
Userprojekt
Userprojekt
Posts: 244
Joined: 2003-04-08 19:36

Re: Server4Free und PhpMyAdmin Login

Post by [nix]pepe » 2003-10-07 18:41

dann sollte man es nicht benutzen ;)

ich sach mal so, ich fänd es ganz praktisch wenn ich auf einem der server nen account hätte ohne sqldb und die dann kostenlos benutzen könnte...
zu dem wäre interessant, ob die auch von ausserhalb zu erreichen ist...

dann würde man ja jedem praktisch zugang zu seinem space gewähren und ich als admin fände dies garnicht toll, wenn jeder x belibige meinen sql dienst benutzen könnte und meinen trafic so hoch treibt, meinen space verbrauch und den speicher meines rooties frist...

so long
pepe

s4fuser
Posts: 136
Joined: 2003-06-01 01:22

Re: Server4Free und PhpMyAdmin Login

Post by s4fuser » 2003-10-07 18:46

[NIX]Pepe wrote:dann sollte man es nicht benutzen ;)

ich sach mal so, ich fänd es ganz praktisch wenn ich auf einem der server nen account hätte ohne sqldb und die dann kostenlos benutzen könnte...
zu dem wäre interessant, ob die auch von ausserhalb zu erreichen ist...
Keine Sorge. Ich bin zwar Newbie, aber auf meine SQL-DBs kann man von extern nicht zugreifen.

[nix]pepe
Userprojekt
Userprojekt
Posts: 244
Joined: 2003-04-08 19:36

Re: Server4Free und PhpMyAdmin Login

Post by [nix]pepe » 2003-10-07 18:57

cih würd auch nit behaupten das ich mehr als das wär, aber mich würd's trozdem schon stören wenn jeder popel user auf meinen server zugriff auf ne db hätte...

s4fuser
Posts: 136
Joined: 2003-06-01 01:22

Re: Server4Free und PhpMyAdmin Login

Post by s4fuser » 2003-10-07 19:06

Klar. Meinst Du, mich stört das nicht? Das ist schon ärgerlich. Zumal in den letzten Tagen noch zwei andere Klöpse von denen bekannt wurden.

luke
Posts: 16
Joined: 2003-10-03 16:19

Re: Server4Free und PhpMyAdmin Login

Post by luke » 2003-10-07 19:31

s4fuser wrote:
[NIX]Pepe wrote:dann sollte man es nicht benutzen ;)

ich sach mal so, ich fänd es ganz praktisch wenn ich auf einem der server nen account hätte ohne sqldb und die dann kostenlos benutzen könnte...
zu dem wäre interessant, ob die auch von ausserhalb zu erreichen ist...
Keine Sorge. Ich bin zwar Newbie, aber auf meine SQL-DBs kann man von extern nicht zugreifen.
Doch, auf MySQL-Daten kann man auch von einem externen Server zugreifen, geht ganz prima. Natürlich muss man dazu die entsprechende db erst freigeben, aber ein unachtsamer Klick im Confixx und schon hat sich die Sache. Wie gesagt, es geht nicht darum, dass dies ein riesen Sicherheitsloch ist (es stimmt schon, so wie es aussieht ist es keines), sondern das es eines werden könnte wenn an anderen Einstellungen etwas geändert wird. Allerdings kann man in eine db auch Daten speichern (Bilder, mp3s, ja ganze Filme), das würde ganz schön Traffic verursachen, vor allem wenn sich die Files dann noch ein paar Leute herunterladen würden.
s4fuser wrote: Klar. Meinst Du, mich stört das nicht? Das ist schon ärgerlich. Zumal in den letzten Tagen noch zwei andere Klöpse von denen bekannt wurden.
Zwei? Ich weiß von dem mit dem Passwort, aber was war noch?


So far!
#
Lukas

s4fuser
Posts: 136
Joined: 2003-06-01 01:22

Re: Server4Free und PhpMyAdmin Login

Post by s4fuser » 2003-10-07 19:45

luke wrote:Doch, auf MySQL-Daten kann man auch von einem externen Server zugreifen, geht ganz prima.
Willst Du es mal bei mir versuchen? Ich gebe Dir gerne mal die IP per PN.
luke wrote:Zwei? Ich weiß von dem mit dem Passwort, aber was war noch?
Nach einer Reboot-Anforderung bekam ich das root-pw in der Bestätigungsmail als plaintext zugesandt (gestern).
Aber das soll ich ja eigentlich hier nicht sagen... :oops:

User avatar
/dev/null
Posts: 149
Joined: 2003-09-11 15:24
Location: Cyberspace

Re: Server4Free und PhpMyAdmin Login

Post by /dev/null » 2003-10-07 20:54

s4fuser wrote:Nach einer Reboot-Anforderung bekam ich das root-pw in der Bestätigungsmail als plaintext zugesandt (gestern).
Aber das soll ich ja eigentlich hier nicht sagen... :oops:
Quark, für mich ist das ein potenzielles Sicherheitsloch! (Das darfst du natürlich sagen.) Es geht darum, dass du keine Kommentare zur Quallität des Supportes abgibst, DAS ist nicht erlaubt. (Hab ich zumindest so verstanden.)

Sag mal so ne allgemeine Frage, wie kommt der Support eigentlich an dein Root-PW? Hast du das nicht gleich geändert?

crasline
Posts: 121
Joined: 2002-05-11 18:39

Re: Server4Free und PhpMyAdmin Login

Post by crasline » 2003-10-07 21:14

ich hab zwar keinen s4f, aber vielleicht hilft da ja der kleine von s4f gestartete prozess aus ..

luke
Posts: 16
Joined: 2003-10-03 16:19

Re: Server4Free und PhpMyAdmin Login

Post by luke » 2003-10-07 23:06

s4fuser wrote:
luke wrote:Doch, auf MySQL-Daten kann man auch von einem externen Server zugreifen, geht ganz prima.
Willst Du es mal bei mir versuchen? Ich gebe Dir gerne mal die IP per PN.

Du kannst das ganz einfach selbst nachsehen indem du auf http://<deinS4FServer>/admin/ gehst, dich dort mit "Administrator" und deinem Admin-Passwort anmeldest und dann im Menü auf "MySQL" klickst. Dort sollte dann auch die "test"-db stehen. Rechts davon steht ein Feld "externer Zugriff", wenn das auf deaktiviert steht sollte alles okay sein. Dort kann man dann die Datenbanken für den externen Zugriff freigeben indem man auf das "deaktiviert" klickt. So kann man dann eine db pfelegen in der Daten stehen die auch von anderen Webseitenbetreibern gelesen werde sollen. Ich kenne einige Beispiele wie z.B. Gewerbevereine, Wetterseiten, Informationsportale, Auktionshäuser, etc. die anderen Seitenbetriebern ihre Daten zur Verfügung stellen.
/dev/null wrote: Sag mal so ne allgemeine Frage, wie kommt der Support eigentlich an dein Root-PW? Hast du das nicht gleich geändert?
Um den Server neu zu starten wollen die das Root-Passwort wissen (das muss man in das Webinterface eingeben). Warum auch immer, eigentlich müssen die nur einen Resetknopf drücken, dafür braucht man kein Passwort, aber ohne machen sie es nicht. Selbst wenn man ein "Supportticket" erstellt muss man die Passwörter für root, root (mysql) und confixx (mysql) angeben. Und wie werde die Passwörter dann übertragen? Natürlich ungesichert per eMail. So langsam überlege ich mir echt zu 1und1 oder zu Strato zu wechseln, aber noch bereue ich die 149,- EUR Einrichtungsgebühr.

So far!
#
Lukas
Last edited by luke on 2010-12-01 20:05, edited 1 time in total.

User avatar
/dev/null
Posts: 149
Joined: 2003-09-11 15:24
Location: Cyberspace

Re: Server4Free und PhpMyAdmin Login

Post by /dev/null » 2003-10-07 23:45

luke wrote:Das kommt daher, dass Server4Free ein einziges Sicherheitsloch ist. Um den Server neu zu starten wollen die das Root-Passwort wissen (das muss man in das Webinterface eingeben). Warum auch immer, eigentlich müssen die nur einen Resetknopf drücken, dafür braucht man kein Passwort, aber ohne machen sie es nicht. Selbst wenn man ein "Supportticket" erstellt muss man die Passwörter für root, root (mysql) und confixx (mysql) angeben. Und wie werde die Passwörter dann übertragen? Natürlich ungesichert per eMail.
:evil: NO COMMENT :evil:
luke wrote:So langsam überlege ich mir echt zu 1und1 oder zu Strato zu wechseln, aber noch bereue ich die 149,- EUR Einrichtungsgebühr.
Wenn du dich beeilst zahlst du bei strato auch keine einrichtunggebühr aber das ist nur ein Tipp! ;)

s4fuser
Posts: 136
Joined: 2003-06-01 01:22

Re: Server4Free und PhpMyAdmin Login

Post by s4fuser » 2003-10-07 23:52

luke wrote:Du kannst das ganz einfach selbst nachsehen indem du auf http://<deinS4FServer>/admin/ gehst, dich dort mit "Administrator" und deinem Admin-Passwort anmeldest und dann im Menü auf "MySQL" klickst. Dort sollte dann auch die "test"-db stehen. Rechts davon steht ein Feld "externer Zugriff", wenn das auf deaktiviert steht sollte alles okay sein. Dort kann man dann die Datenbanken für den externen Zugriff freigeben indem man auf das "deaktiviert" klickt. So kann man dann eine db pfelegen in der Daten stehen die auch von anderen Webseitenbetreibern gelesen werde sollen. Ich kenne einige Beispiele wie z.B. Gewerbevereine, Wetterseiten, Informationsportale, Auktionshäuser, etc. die anderen Seitenbetriebern ihre Daten zur Verfügung stellen.
Solche Dienste biete ich nicht an. Und dass mysql nicht nach aussen hört, sehe ich auch mit "nmap localhost".

Und nach den letzten Beiträgen frage ich mich, warum ich in einem anderen Thread darauf hingewiesen wurde, dass ich mich nicht darüber beschweren soll, dass S4F das root-pw (!!!) per Mail verschickt. Natürlich ist das hier nicht die WHL, aber ich habe schon einiges anderes gelesen (wie auch jetzt hier), das unkommentiert blieb.

*grübel*

gamecrash
Posts: 339
Joined: 2002-05-27 10:52

Re: Server4Free und PhpMyAdmin Login

Post by gamecrash » 2003-10-08 09:44

Na, zu Strato zu wechseln wär ja auch eine wahnsinnige Verbesserung :twisted:

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Server4Free und PhpMyAdmin Login

Post by captaincrunch » 2003-10-08 10:04

Bitte jetzt hier keine Flames über Provider.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc