Dank der neuen Google Codesearch Beta wird Hackern derzeit die Arbeit wesentlich erleichtert, fremder Leute Blogs auseinander zu nehmen. Beispiel gefällig?
Einfach mal wp-config.php suchen lassen
English translation
Thanks to the new Google Codesearch Beta hackers have an easy job to exploit other people’s blogs. Example wanted?
10 Kommentare
4 Pings
Roman sagt:
08.10.2006 von 14:52 (UTC 0 )
Krass! Und was schlägst Du vor, um diesen Missstand zu beheben? Ausser rw-r—–
CountZero sagt:
08.10.2006 von 16:41 (UTC 0 )
das problem liegt wohl eher in einer sehr dürftigen serverkonfiguration, die dazu führt, daß PHP-files in bestimmten fällen nicht ausgeführt, sondern tatsächlich komplett ausgeliefert werden. ich denke nicht, daß sonderlich viele blogs davon betroffen sind, aber neben WordPress kann man mit diesem “Trick” sicherlich auch etliche andere OpenSource-Produkte wie phpbb, typo3 und co ebenso leicht ausspionieren, wenn der webserver schlecht konfiguriert ist.
Joe sagt:
08.10.2006 von 20:12 (UTC 0 )
Hi, das ist echt krass.
Also so wie ich das sehe sind das gepackte Sicherungen der WordPress-Konfiguration, die auf den Servern über das Web zugreifbar, abgelegt wurden. Das ist natürlich selbst schon Kamikaze.
Hiervon sind denke ich eigentlich nicht allzuviele Leute betroffen sein. Aber für die, die betroffen sind, wird es Zeit, dass sie hier Abhilfe schaffen. Eindeutig ein riesen Sicherheitsloch.
MrSnoop sagt:
08.10.2006 von 20:56 (UTC 0 )
Das Problem kommt wohl eher daher, dass die Leute ihre Konfigurationsdateien als *.zip etc. (also gepackt) auf dem Server liegen haben (bzw. auch in einer svn-Umgebung). Wenn Google nun diese Files durchsucht kann man natürlich auch direkt in die PHP-Dateien schauen. Der Webserver weiß ja nicht, welche Dateitypen sich innerhalb des Packets befinden.
Fazit: Wer so blöd ist seine Source-Dateien als ZIP etc. auf dem Server zu hinterlegen, arf sich nicht wundern, wenn diese Infos öffentlich werden. Und wenn man schon unbedingt ein BAckup auf dem Server haben will, dann in einem von außen nicht sichbaren Bereich, oder mit Passwort.
Viktor sagt:
08.10.2006 von 22:44 (UTC 0 )
und wer schreibt die armen Leute jetzt an und sagt denen, dass Ihre Passwörter im Netz sind ??
Walle sagt:
09.10.2006 von 22:35 (UTC 0 )
Naja, solange man bei “DB_HOST” nix eingetragen hat, ist man ja noch halbwegs sicher, dann ist doch zumindest die Datenbank unbekannt? Oder sehe ich dass falsch?
CountZero sagt:
10.10.2006 von 02:48 (UTC 0 )
@walle: kommt drauf an. in den meisten fällen kann man dann wohl davon ausgehen, daß der mysql-server auf derselben maschine läuft un implizit dann “localhost” verwendet wird, folglich bestehen dann gute aussichten, direkt über den hostnamen oder die ipadresse an port 3306 heranzukommen – denn nicht viele hostingprovider sind schlau genug ihre mysql-datenbanken ausschließlich für zugriffe aus dem eigenen intranet freizuschalten.
es ist hier in diesem fall zwar eindeutig kein sicherheitsloch in WordPress selbst, sondern es liegt vielmehr eine kombination aus “tot wegen saudoof” und schlechter serverconfig vor, als durchaus bedenklich stufe ich diese tolle neue suche von google trotzdem ein.
Walle sagt:
10.10.2006 von 11:41 (UTC 0 )
ah ok!
den 2. absatz hab ich auch so verstanden.
das problem ist meiner meinung nach, dass man immer mehr experte sein muss, um auch nur 3 schritte im internet zu überleben.
CountZero sagt:
10.10.2006 von 13:14 (UTC 0 )
um das mal deutlich so zu sagen: das war schon immer so – immerhin ist das www ursprünglich als kontaktplattform für wissenschaftler entstanden. der consumer-hype war in der form wohl nicht so geplant.
macosbrain sagt:
23.11.2006 von 19:56 (UTC 0 )
solche späße konnte man aber auch schon in google (ohne codesearch) hinbekommen.
z.b.
Das gibt zu denken « Yoda’s Blog sagt:
08.10.2006 von 15:09 (UTC 0 )
[...] 4null4.de hat ein bedenkliches Suchergebnis von Google Codesearch Beta entdeckt. Da lohnt es sich, die Rechte einzelner Dateien mit solchigem Inhalt zu überprüfen, gäll! var URL = “http://blog.yoda.ch”; var id = “367″; var permalink = “http://blog.yoda.ch/?p=367″; /* Bitte ab hier nichts ändern. Danke */ document.write(“”); document.write(“”); document.write(“”); interne Tags: Sicherheit, Google, Hacken [...]
miZine » Blog Archive » Danke Google :( sagt:
08.10.2006 von 22:45 (UTC 0 )
[...] [ weiter… ] [...]
pl0g.de sagt:
09.10.2006 von 18:55 (UTC 0 )
Leichter hacken mit Google?…
Dank der neuen Google Codesearch Beta wird Hackern derzeit die Arbeit wesentlich erleichtert, fremder Leute Blogs auseinander zu nehmen. Beispiel gefällig?
Einfach mal wp-config.php suchen lassen
Vielen Dank an CountZero von 4null4.de für diesen Hinw…
Vie de Malchance sagt:
09.10.2006 von 20:11 (UTC 0 )
[...] This morning I found this: Thanks to the new Google Codesearch Beta hackers have an easy job to exploit other people’s blogs. Example wanted? [...]