Crontab Problem (Keine Brechtigung)

[inter-medien]

Hallo,

ich habe versucht Cronjobs auf meinem Webserver (Debian) in Confixx einzurichten. Leider bekomme ich immer bei Ausführung des Jobs eine Fehleremail:

> --20:15:01-- http://##########
> => `########.php'
> Auflösen des Hostnamen Å¥www.#####.deŤ.... ######
> Verbindungsaufbau zu www.########.de[#########]:80... verbunden.
> HTTP Anforderung gesendet, warte auf Antwort... 200 OK
> Länge: nicht spezifiziert [text/html]
> #######.php: Keine Berechtigung
>
> Kann nicht nach ############ schreiben (Keine Berechtigung).


Ich habe jetzt schon 2 Stunden umhergesucht aber leider nix gefunden. Habe schon alles mit -q --spider etc gestet immer das selbe.

Hier mal der Job:
*/30 * * * * wget http://##########/#########.php

Wenn ich das script in SH mit wget ausführen funktioniert es wunderbar.
Ich hoffe Ihr könnt mir weiterhelfen.

Gruss
Rob

[Roger Wilco]

`man wget` -> "--spider"

[inter-medien]

^^^^
wie schon geschrieben, schon getestet - kein erfolg ;-(

[Roger Wilco]

Dann hänge "-O /dev/null" an. Oder rufe das Skript direkt über die CLI-Variante von PHP auf.

[inter-medien]

dankeschön mit -O funktioniert es bestens. Vielen vielen Dank

Viele Grüsse
Rob

[inter-medien]

Wenn du mir vieleicht noch sagen könntest wie ich die eMail Bestätigung aus machen kann?`?
geht das mit: wget ###### -O 2>&1 >/dev/null ????

Viele Grüsse
Rob

[Roger Wilco]

Wenn du mir vieleicht noch sagen könntest wie ich die eMail Bestätigung aus machen kann?`?

MAILTO="" über den Cronjob in der Crontab setzen oder die Ausgabe von wget komplett unterdrücken (`man wget`).

geht das mit: wget ###### -O 2>&1 >/dev/null ????

Nein. Lies die Manpage zu wget.

[inter-medien]

tut mir leid, ich check es einfach nicht.
mailto="" kann ich nicht einfügen, da ich den cron über confixx anlege. ??

Im man habe ich nicht wirklich was gefunden, wäre super nett wenn du mir bitte helfen würdest - bekomme pro Stunde 50 eMail vom Server ;-(


Viele Grüsse
Rob

[inter-medien]

kann mir denn keiner helfen?? bekomme unendliche viele mails.... hilllfffffee

[Roger Wilco]

Code: Select all

wget -q -O /dev/null <URL>

Ist das wirklich so schwer aus der Manpage zu lesen? Und wenn du mit Confixx keine Variablen setzen kannst, dann mach es eben über die Shell mit crontab.

[inter-medien]

Hallo,

vielen vielen Dank es funktioniert bei mir zwar nur mit --quiet aber der Hinweis was Spitze

Viele Grüsse
Rob

[cirox]

Hallo,

geh ich recht in der Annahme, dass hier mittels wget jeder beliebige PHP-Code ins System eingeschleust werden kann, also ins Verzeichnis des Users und mit den Rechten des Users ausgeführt wird?

Ist das nicht ein grobes Sicherheitsrisiko?

[Roger Wilco]

geh ich recht in der Annahme, dass hier mittels wget jeder beliebige PHP-Code ins System eingeschleust werden kann, also ins Verzeichnis des Users und mit den Rechten des Users ausgeführt wird?

Wieso? Die heruntergeladenen Daten werden ja nicht gespeichert.

Ist das nicht ein grobes Sicherheitsrisiko?

Wäre es, wenn der heruntergeladene Code gespeichert würde. Davon abgesehen muss man entweder Rootrechte haben oder als der betreffende Benutzer eingeloggt sein, um Cronjobs für ihn anlegen zu können.

[cirox]

Hallo,

zu 1. ok

zu 2. naja in Confixx kann jeder User Cronjobs anlegen, soweit man es ihm erlaubt. Aber mal folgendes: Wenn per mod_security -> wget verboten ist, schön und gut, aber wenn dann der User halzt per cronjob diesen Code mittels weget einschleusen will, dann geht das ja nicht, weil es nicht geschreiben werden kann.

Es können also nur Seiten (Code) mittels wget ausgeführt werden, die schon im Webdirectory des Users liegen?

man wget:

Code: Select all

-O file --output-document=file

The documents will not be written to the appropriate files, but all will be concatenated together and written to file.  If file already exists, it will be overwritten.  If the file is -, the documents will be written to standard output. Including this option automatically sets the number of tries to 1. Note that when --output-document is specified, --convert-links is ignored.

wird da nun was geschrieben oder nicht, so ganz verständlich finde ich es nicht.

[Roger Wilco]

zu 2. naja in Confixx kann jeder User Cronjobs anlegen, soweit man es ihm erlaubt.

Nur für sich selbst (hoffe ich mal). Confixx macht sicherlich auch nichts anderes als `crontab -e` für den Benutzer bzw. `crontab -u Benutzer -e` als root.

Es können also nur Seiten (Code) mittels wget ausgeführt werden, die schon im Webdirectory des Users liegen?

wget ist ein normaler HTTP-Client. Seit wann kann ein normaler HTTP-Client auf Dateien außerhalb des DocumentRoots zugreifen?

Davon abgesehen: Ein Benutzer kann nur in ein Verzeichnis schreiben, wenn er die nötigen Rechte hat, z. B. weil ihm das Verzeichnis gehört oder weil er Mitglied in einer entsprechenden Gruppe ist.

wird da nun was geschrieben oder nicht, so ganz verständlich finde ich es nicht.

Speicherst du deine wichtigen Daten in /dev/null? ;)

[cirox]

Hallo,

nach /dev/null nun nicht, hatte es bloss nicht so ganz kapiert in der "man wget".

Aber "wget" kann schon in einer "url" übergeben, Code von fremden Webspace nachladen damit das alles dann ausgeführt wird, bei falschen Sicherheitseinstellungen ?

[Roger Wilco]

Aber "wget" kann schon in einer "url" übergeben, Code von fremden Webspace nachladen damit das alles dann ausgeführt wird, bei falschen Sicherheitseinstellungen ?

Genau wie CURL, lynx, w3m oder ein beliebiger anderer HTTP-Client.

[cirox]

Dann besteht wohl der Unterschied darin, dass man mit mod_security sowas verhindert, da hier "Fremde" nicht wget ausführen können, aber der User auf dem System schon wget ausführt mittels cronjob, aber der weiss ja hoffentlich was er tut ....

[Roger Wilco]

Dann besteht wohl der Unterschied darin, dass man mit mod_security sowas verhindert, da hier "Fremde" nicht wget ausführen können, aber der User auf dem System schon wget ausführt mittels cronjob, aber der weiss ja hoffentlich was er tut ....

mod_security ist ein Modul für den Apache-Webserver. Das hat mit Cronjobs überhaupt nichts zu tun. Dass der Benutzer wissen sollte, was er tut, ist klar, ansonsten kann man ihm auch einfach wieder das Recht entziehen, selbst Cronjobs anzulegen.

[cirox]

okidoki, ja mit mod_security ist schon klar, deswegen ja weils es halt nur für den apache webserver ist, aber danke für die schnelle Hilfe :)