RootForum Community

Hallo Forum,

folgender Sachverhalt:

Unser managed Debian Server mit Confixx-Oberfläche wurde gehacked und von unserem Rechenzentrum neu aufgesetzt (Backups der Confixx-Webs gefertigt, Neu-Installation, Backups zurückgespielt).

So weit so gut. Wir haben nun die einzelnen Webs überprüft und festegestellt, das alle Confixx-Webs dem User www-data:ftponly gehören. Ausserdem haben alle Files und Verzeichnisse innerhalb der einzelnen Webs die Dateiberechtigung 0775.

Wir haben unser RZ auf diesen (unserer Meinung nach) Mißstand aufmerksam gemacht und um Änderung gebeten, jedoch meint das RZ das hier keine Sicherheitsbedenken vorliegen, da Confixx den Zugriff auf die einzelnen Webs intern regeln würde.

Sind nicht schon durch die laxen Dateiberechtigungen alle Türen und Tore mächtig weit offen?

Wie sehn die Spezialisten unter Euch das?

Würde mich über eine Antwort sehr freuen.

Grüße, Max

Naja - 755 ist vielleicht eher ein Problem wenn es um lesende Berechtigungen geht (Stichwort Datenbank-Zugänge in Config Dateien).
Wenn ein Wrapper läuft (FastCGI z. Bsp.) der einzelne Vhosts separat abbildet und die Konfiguration halbwegs stimmig ist dürften User aus Vhost 1 nicht in die Verzeichnisse von Vhost 2 kommen.

Da ich kein Control Panel verwende hatte ich es bisher immer so geregelt 640 für Dateien zu verwenden, Verzeichnisse entsprechend anders und per Suexec + FastCGI die Zwischenschicht reingeschoben.

Der wichtige Punkt ist, dass man herausfindet, wie die Hacker zu Beginn den Server hacken konnte. Die Dateiberechtigungen würde ich ans Ende meiner Liste packen.

Wenn man nicht herausgefunden hat, wie der Hacker das letzte mal eingedrungen ist, kann man mit einem Backup das Problem nicht beheben.

Primär muss geschaut werden, sind alle CMS auf dem neusten Stand. Sind alle Module von Drittanbietern auf dem neusten Stand..

Die Dateien und Verzeichnisse müssen eine gemeinsame Gruppe oder einen gemeinsamen Eigentümer haben, sonst kann Apache sie nicht lesen. 775 deswegen, damit ftponly (die Gruppe, in der die User web1, web2, ... zusammengefasst sind) Dateien hochladen können.

Das Konstrukt ist aber etwas unglücklich; besser wäre web[1-9]+:www-data mit 0750 für Verzeichnisse und 0640 für Dateien (ausgenommen Verzeichnisse mit Log-Daten o. ä.).

Vielen Dank für Eure Antworten. Leider löst das unser Problem nicht. Auf unserem Server wird gespammt, aber dazu werde ich besser einen neuen thread öffnen.

Danke!