Zugriffsdaten möglicherweise vom Provider im root hinterlegt

[Gast]

Willkommen Gast. Bitte einloggen oder registrieren.

Einloggen mit Benutzername und Passwort

[reddragon]

HI 

Bin gerade in Bot-trap-Forum über folgenden Link gestoßen:

http://tas2580.de/sicherheit/104-datenbankdaten-in-backups-der-config-dateien.html

Je nachdem, wie der Provider den Server eingestellt hat, kann es laut dem Artikel vorkommen, dass nach dem editieren der config.php eine config.bak im Stammverzeichnis steht, die im Klartext aufgerufen werden kann.

Das wäre dann eine CMS-unabhängige Schwachstelle

Das PMX hat der Autor nicht getestet, aber bei anderen CMS hat er ca 1% Treffer erlangt. Also sicherheitshalber mal fix checken

[FrankP]

Das hat aber nichts mit den Einstellungen des Servers zu tun, sondern mit dem Editor, mit dem der Webmaster die Datei bearbeitet. Ein Linux-Editor, der das macht und mit dem man direkt auf dem Webserver arbeitet, ist mir nicht bekannt - ich kenne aber auch nicht alle. Letztendlich ist das keine Sicherheitslücke, sondern reines Fehlverhalten des Webmasters. Da wird nix "vom Provider hinterlegt", sondern der Webmaster hat seinen Editor falsch eingestellt und den Kram ohne Überprüfung hoch geladen. Allerdings, wenn jemand tatsächlich einen Linuxeditor kennt, bei dem es diese grauslige Einstellungsmöglichkeit gibt, wäre für nen Hinweis dankbar.

[JoergK]

Hi Frank,

soweit ich mich erinnere, speichert der "joe" Backups von editierten Dateien ab.
Hab schon länger nix mehr mit Linux gemacht, drum hab ich mal eben Tante Gockel bemüht und das gefunden:

-backpath path
    If this option is given, backup files will be stored in the specified directory instead of in each file's original directory.

http://linux.die.net/man/1/joe

Demnach wird ohne Angabe dieser Option ein Backup im selben Verzeichnis der editierten Datei gespeichert.

[Webfan]

Das bei den PragmaMxlern so beliebte Simplemachinesforum hat dieses ekelhafte Feature auch.
Es werden von den Forum Dateien Dateien mit ~ am Ende abgespeichert, zwar nicht von der settings.php aber trotzdem.
Mich stört das und ich hab das auch schon im SMF Forum bemeckert, ist aber wohl untergegangen.

[grafikmurkser]

webfan  , warum sollte man dort darauf auch gross eingehen ?
jeder  user hat die möglichkeit dies " ab zu stellen " . einfach die funktion zum "erstellen von  sicherungsdateien " deaktivieren ..

[Webfan]

Ahhh, achso. Und wo finde ich diese Einstellung? Bin wohl blind 

[grafikmurkser]

unter Paketmanager -> Optionen :
 

Erstelle Sicherungskopien der ersetzten Dateien mit dem Zeichen (~) am Ende des Dateinamen.

[Webfan]

Ah. Danke