VISAS kommt an CONFIXX heran und ist weit günstiger

Dieses Thema im Forum "Admin- & Verwaltungssoftware[Gewerbliche Angebote]" wurde erstellt von synapse, 12. September 2002.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. synapse

    synapse New Member

    Registriert seit:
    6. September 2002
    Beiträge:
    71
    habe kürzlich eine coole preiswerte variante gefunden meinen server zu administrieren. dieses tool ist einfach zu installieren und bietet alle wichtigen dienste automatisch.

    ist noch ein betatest und hat ein paar kleine macken, ansonsten bin ich aber echt zufrieden. was sagt ihr dazu? hier gibts das demo

    http://visas.de/onlinedemo.php

    also ich finde bei Confixx muss man sich warm anziehen um weiterhin noch diese halsabschneiderpreise zu verlangen

    gruß,

    synapse


    gruß,

    synapse
     
  2. rolf1212

    rolf1212 Erfahrener Benutzer

    Registriert seit:
    24. Februar 2001
    Beiträge:
    2.467
    Ort:
    Saarbrücken/Frankfurt
    AW: VISAS kommt an CONFIXX heran und ist weit günstiger

    Ist ja wohl nicht dein ernst, oder?

    Also, ohne eine dritte Meinung zu vertreten, liste ich mal auf, was mir aufgefallen ist:

    - Keine vernüftige Administration von e-Mail
    E-Mail wird über eine Third-Party Schnittstelle
    administriert.

    - Datenbanken, wenn mal angelegt, können nur durch
    phpmyadmin wieder gelöscht werden.

    - Ich möchte kein System haben, auf dem Webmin
    installiert ist.

    - Warum sollte ich mir ein System installieren, bei dem
    ich dem ich viele Eintragungen weiterhin von Hand
    vornehmen muss? Das einzige was das System macht, ist
    die Konfigurationsdatei in den Browser zu laden.
    Mal ne Frage dazu - wenn die Datei für den Webserver
    lesbar ist, dann ist sie es auch bestimmt für alle
    Benutzer auf dem Server. Also ich möchte nicht, dass
    meine Kunden in den Konfig-Dateien lesen können.

    - Ich liebe es, wenn man Pakete unterschiedlicher
    Systemarchitektur auf dem System installiert. Das
    gibt so wunderschöne Abstürze :)

    - Das Root-Passwort wird im Klartext gespeichert? Kann
    ja wohl nicht wirklich dein Ernst sein. Ich habe
    gesehen, dass man dass Passwort ändern kann und man
    das alte Passwort angezeigt bekommt. Also muss dass
    Passwort entweder im Klartext oder in einer 2-Wege
    Verschlüsselung abgespeichert sein. Da PHP auf diesem
    System nicht als CGI und nicht in einem Safe-Mode
    betrieben wird, kann ich mir auch mal schnell die
    Konfigurationsdatei von diesem Tool auslesen und habe
    somit dass Passwort für die VISAS Datenbank und
    gleichzeitig das Root Passwort, welches darin
    gespeichert ist.

    - Ähm. Visas Installiert wirklich all diesen Käse auf
    einem System? Bei PHP lasse ich mir die ganzen Module
    ja noch gefallen, aber bei Apache? Der Apache Daemon
    ist danach ca. 6 MB gross und beim Ausführen ca.
    doppelt soch hoch im Speicher. Also ich möchte keinen
    Daemon installiert haben, welcher ca. 9-11 MB Speicher
    pro Aufruf absaugt.

    - Die Hälfte der Installierten Pakete ist nicht mehr
    up2date.

    - Da man sich keine Sorgen mehr über Sicherheitslücken
    machen muss, übernimmt das VISAS für mich?
    Der eingebaute FTP Client ermöglicht sogar jedem
    Kunden den Zugriff auf alle Verzeichnisse:

    http://visas:demo@visasdemo.i3-service.de/serveradminlevel/intranet/datei.php?currDir=/etc

    Zu sehen ist das /etc Verzeichnis des Servers. Erst
    vor kurzem hat die C't diesbezüglich einige Anbieter
    getestet und dann so ein Fehler?

    Also ich lasse es nun mal bleiben, denn man kann sich denken, dass die Software momentan nichts taugt. Wenn man also nicht ein paar Tage später, die gesammelten Wiener Sängerknaben auf dem Rechner haben möchte, dann sollte man diese Software nicht installieren bzw. schleunigst wieder entfernen.

    Grüsse
    Rolf
     
  3. Gast

    Gast Guest

    AW: VISAS kommt an CONFIXX heran und ist weit günstiger

    *hehe* so genau muss man sich das erstmal angucken ;o) aber nunja, da dürfte jetzt jemand wohl schon etwas weitergeholfen sein *g* ...

    http://www.webhostlist.de/active/thread.jsp?forum=32&thread=11182&message=81613
     
  4. synapse

    synapse New Member

    Registriert seit:
    6. September 2002
    Beiträge:
    71
    AW: VISAS kommt an CONFIXX heran und ist weit günstiger

    >Der eingebaute FTP Client ermöglicht sogar jedem
    >Kunden den Zugriff auf alle Verzeichnisse:

    >http://visas:demo@visasdemo.i3->service.de/serveradminlevel/intranet/datei.php?>currDir=/etc


    um das tun zu können muss der kunde erst einmal das rootpasswort haben denn in dem link sieht es wie folgt aus:
    http://visas:(ROOTPASSWORT)@visasdemo.i3-service.de/serveradminlevel/intranet/datei.php?currDir=/etc

    der kunde kann sich jedoch nur über:
    http://(BENUTZERNAME):(BENUTZERPASSWORT)@visasdemo.i3-service.de/domainadminlevel/

    anmelden, das er nur diese daten mitgeteilt bekommt. wenn also jemand dein rootpasswort erschleicht, wie auch immer, dann kann er natürlich auch über die visas adminoberfläche ins system einbrechen, aber über SSH kann er das genauso.

    aber dazu muss er das passwort erst einamal auslesen, das visas das erleichtert ist nicht ganz richtig.

    allerdings gibt es schon einen schwachpunkt in sachen sicherheit:
    im domainadminlevel haben die entwickler vergessen, den menuepunkt "ADMINLEVEL" zu entfernen. somit kann jeder der dort draufklickt auch ins rootmenue!

    beim nächsten update einfach den button entfernen oder wenn mans selbst machen will:

    per SSH:
    /usr/local/visas/public_html/domainadminlevel

    dort im file

    menue.php

    folgenden text rauslöschen:



    <?php
    mysql_select_db("visas",$dbconnect);
    $result=mysql_query("select * from level2kunden where masteruser='visas'");
    $row=mysql_fetch_array($result);
    echo '<tr>';
    echo '<td width="100%" bordercolor="#FFFFFF" bgcolor="#6699FF">';
    echo "<a href='http://$row[masteruser]:$row[password]@$SERVER_NAME/adminlevel/' target=_parent'>";
    echo '<b><font face="Arial" size="1">ADMINLEVEL</font></b></a></td>';
    echo '</tr>';
    ?>

    fertig.

    gruß,

    s.
     
  5. rolf1212

    rolf1212 Erfahrener Benutzer

    Registriert seit:
    24. Februar 2001
    Beiträge:
    2.467
    Ort:
    Saarbrücken/Frankfurt
    AW: VISAS kommt an CONFIXX heran und ist weit günstiger

    Anscheinend hast Du nicht ganz verstanden. Wenn ein PHP Skript, welches auf dem gleichen Webserver ausgeführt wird, das Verzeichnis /etc auf dem Server auslesen kann, dann kann dies auch jedes andere Skript. Dazu benötige ich nicht die Zugangsdaten von VISAS oder irgendeinem anderen Account. Soweit klar? Okay?

    Dann gehen wir eine Stufe weiter. Der Webserver hat also ungehindert leserechte in allen Verzeichnisses und da PHP in den Webserver einkompiliert ist, besitzt es auch die Rechte des Webserverbenutzers. Da der Webserver die Konfigurationsdatei von VISAS lesen kann und PHP nicht auf das Lesen von Kundenverzeichnissen beschränkt ist, kann ich damit in maximal einer Minute das Datenbankpasswort von VISAS auslesen. Soweit auch klar? Okay? Da der gute Erfinder es möglicht macht, dass Root-Passwort des Servers zu ändern und auch noch die Möglichkeit gibt, dass momentane Passwort zu sehen, ergibt sich daraus, dass das Passwort irgendwo im Klartext gespeichert wird, da es bei SUSE oder REDHAT in einen md5 Schüssel vorliegt und für md5 der Rückverschlüsselungscodec nicht bekannt ist. Da ich davon ausgehe, dass das Passwort in einer Datenbank gespeichert wird und dann mit einem Root-Cron in die Shadow geschrieben wird, kann ich diese Datenbank auch auslesen, weil ich 2 Minuten zuvor an das Passwort der Datenbank gekommen bin. Sollte dass Passwort nicht in der Datenbank gespeichert sein und direkt durch PHP geändert werden, müsste die Datei "shadow" Schreibrechte für den Webserver haben und somit hätten wir wieder einen Exploit. Egal wie Du es drehst, es wird immer Mist bleiben und nicht besser werden. Zumal hat das Root-Passwort und eine Änderungsfunktion, nichts in einer solchen Oberfläche verloren.

    Jetzt aber genug. Wenn jemand das Ding installieren möchte, sollte er das auf keine Maschine tun, die im Netz hängt. Drei der Pakete die installiert werden, leiden noch unter einem "Buffer Overflow" und eines von diesen Dreien, wird sogar noch als root ausgeführt. Ergo: Ich überlaste diesen Dienst bis er schreit "Ich will nicht mehr" und habe eine Root Shell ohne irgendein Passwort kennen zu müssen.

    Wenn das Ding im Netz ist, er darauf auch noch Kunden hat, sollte er beten dass die keine Ahnung haben, denn sonst ist die Maschine bald voller Würmer. Das merkst Du dann, wenn es aufeinmal anfängt auf der Kiste nur noch von "Zombie's" wimmelt. Dann kannste hingehen und die Kiste neu aufsetzen.

    Grüsse
    Rolf

    P.S. Wenn Du es mir nicht glaubst, dann gib mir einen Account und ich schicke Dir 10 Minuten später den Inhalt des Root-Verzeichnisses zu.
     
  6. rolf1212

    rolf1212 Erfahrener Benutzer

    Registriert seit:
    24. Februar 2001
    Beiträge:
    2.467
    Ort:
    Saarbrücken/Frankfurt
    AW: VISAS kommt an CONFIXX heran und ist weit günstiger

    Nachtrag: Sorry für meine Rechtschreibefehler.
     
  7. freaky

    freaky New Member

    Registriert seit:
    26. Mai 2002
    Beiträge:
    229
    AW: VISAS kommt an CONFIXX heran und ist weit günstiger

    > P.S. Wenn Du es mir nicht glaubst, dann gib mir einen
    > Account und ich schicke Dir 10 Minuten später den
    > Inhalt des Root-Verzeichnisses zu.


    LOL :)
     
  8. freaky

    freaky New Member

    Registriert seit:
    26. Mai 2002
    Beiträge:
    229
    AW: VISAS kommt an CONFIXX heran und ist weit günstiger

    @synapse

    sche§&$% selfpromiting
    .. so kommen sie nicht weiter
     
  9. synapse

    synapse New Member

    Registriert seit:
    6. September 2002
    Beiträge:
    71
    AW: VISAS kommt an CONFIXX heran und ist weit günstiger

    nein, du irrst dich, ich gehöre sicherlich nicht zu i-3, das zeigen vor allem auch meine kritischen postings im forum bei www.visas.de .

    dort ist mein nick "synsabse"

    gruß,

    s.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen