mboost-dp1
unknown
blogbot.dk som bliver hostet af cliche har her de sidste mange dage haft problemer, kunne det have noget med at gøre mon?
typisk, det er garanteret en enkelt mand der står for det sådan cirka, og han sidder på bahamas lige nu og ryger den fede.
sorry, men jeg har ikke tillid til de billige webhosts. desuden er langt de fleste php-hosts også direkte farlige med global sat til "on".
sikkerhed er ikke eksisterende i dag.
sorry, men jeg har ikke tillid til de billige webhosts. desuden er langt de fleste php-hosts også direkte farlige med global sat til "on".
sikkerhed er ikke eksisterende i dag.
Det er da et fremragende signal at sende om sikkerheden på ens servere, at man bare ignorerer så alvorlige sikkerhedsfejl. Undskyld mig, men så er de altså selv ude om det, hvis nogen udnytter det.
Og hvis det er så nemt, som det lyder at udnytte fejlen, at enhver med den mindste kendskab til HTML kan udnytte det, så er det da ekstra latterligt
Og hvis det er så nemt, som det lyder at udnytte fejlen, at enhver med den mindste kendskab til HTML kan udnytte det, så er det da ekstra latterligt
En ret åbenlys fejl IMHO, burde være noget alle webhoteller checker for! Der var samme fejl i gamle dage på Abusiness' servere, der kan jeg huske at jeg igennem min egen PHP baserede dirbrowser(TM) kunne gå ind og hente andre kunders scripts og se deres private filer - hvilket hurtigt blev rettet af deres admin som i øvrigt var en bekendt
#3
Mon ikke kan kan regne med at et WEBHOTEL firma modtager og læser deres emails?
#3
Mon ikke kan kan regne med at et WEBHOTEL firma modtager og læser deres emails?
Hehe, en PHP SAFE_MODE pendent! Hvorfor har denne nyhed ligget idle i 4-5 dage? Skulle de have tid til at rette fejlen før newz' brugere kunne få nys om det? lol
Jeg forstår det slet ikke. Deres support har da ellers normalt svaret ret hurtigt og godt når man har kontaktet dem, men det er så også over et år siden sidst, da jeg fik flyttet den sidste side jeg havde på cliche's servere til surftown, hvilket jeg ikke har fortrudt (rart at kunne styre næsten alle aspekter af ens webhotel uden at skulle kontakte nogen).
Jeg synes ikke vi skal opfordre til angreb på andre herinde.
Men ja, jeg tror faktisk et angreb på flere "større" kunder hos dem vil få dem til at komme ud af starthullerne.
Da jeg havde cliché i sin tid var de ellers udemærket til at besvare mine e-mails... Især da jeg begyndte at bruge "for meget" af deres "fri" båndbredde.
De havde sjovt nok svært ved at klage over indholdet af min hjemmeside da det ikke klart brød med deres forretningsbetingelser, men det endte dog med at jeg havde ondt af dem og satte en stopper for det...
Men ja, jeg tror faktisk et angreb på flere "større" kunder hos dem vil få dem til at komme ud af starthullerne.
Da jeg havde cliché i sin tid var de ellers udemærket til at besvare mine e-mails... Især da jeg begyndte at bruge "for meget" af deres "fri" båndbredde.
De havde sjovt nok svært ved at klage over indholdet af min hjemmeside da det ikke klart brød med deres forretningsbetingelser, men det endte dog med at jeg havde ondt af dem og satte en stopper for det...
#10
Ja er faktisk derfor. Vi gjorde det samme dengang Jubii havde en zip-fil liggende, med mere end 200.000 e-mail-adresser på deres offentlige ftp-server. Her reagerede de dog prompte og fjernede filen et par minutter efter mailen var sendt, hvorefter vi bragte nyheden.
Det mener vi er den rigtige måde at gøre det på, i dette tilfælde har vi så ikke hørt noget fra Cliche, men bringer nyheden nu, da vi mener at de har haft alle muligheder for at lappe hullet. Skal så siges at jeg ikke ved om de rent faktisk allerede har gjort det.
Ja er faktisk derfor. Vi gjorde det samme dengang Jubii havde en zip-fil liggende, med mere end 200.000 e-mail-adresser på deres offentlige ftp-server. Her reagerede de dog prompte og fjernede filen et par minutter efter mailen var sendt, hvorefter vi bragte nyheden.
Det mener vi er den rigtige måde at gøre det på, i dette tilfælde har vi så ikke hørt noget fra Cliche, men bringer nyheden nu, da vi mener at de har haft alle muligheder for at lappe hullet. Skal så siges at jeg ikke ved om de rent faktisk allerede har gjort det.
#13:
ja, det er MEGET MEGET bedre at lade forbrugerne være uvidende om at sikkerheden på deres webhotel stinker mens de få folk der så kender til hullerne langsomt gennemkigger alle tante Idas hemmelige madopskrifter.
det er meget bedre end at brugerne selv finder ud af det så de med det samme kan fjerne den slags ting!!
seriøst, det er første gang jeg siger dette om newz.dk, men jeg synes Jeres politik på dette område stinker!
btw. kan man ikke også skrive til filerner på denne måde? værsgod, fri skriveadgang til hele webhotellet (uden at brugerne ved det, igen fordi dem der kan advare brugerne holder kæft...)
ja, det er MEGET MEGET bedre at lade forbrugerne være uvidende om at sikkerheden på deres webhotel stinker mens de få folk der så kender til hullerne langsomt gennemkigger alle tante Idas hemmelige madopskrifter.
det er meget bedre end at brugerne selv finder ud af det så de med det samme kan fjerne den slags ting!!
seriøst, det er første gang jeg siger dette om newz.dk, men jeg synes Jeres politik på dette område stinker!
btw. kan man ikke også skrive til filerner på denne måde? værsgod, fri skriveadgang til hele webhotellet (uden at brugerne ved det, igen fordi dem der kan advare brugerne holder kæft...)
#14 :-) husk det næste gang der bliver en diskussion om emnet
#12 "Men ja, jeg tror faktisk et angreb på flere "større" kunder hos dem vil få dem til at komme ud af starthullerne."
Øhm undskyld mig men hvilke "større" kunder har et discounthotel som cliche jo er? Hvis jeg havde en forretning, så ville jeg da til hver en tid vælge at give de 50-100 kr om måneden som det koster, for at få den hosted et sted hvor de har styr på sådanne ting... Man får hvad man betaler for, også på webhoteller!
#15 vær dog glad for at vi bringer nyheden i det mindste!
Ved med det samme at gå ud og fortælle om den fejl der er på deres webhoteller, inviterer vi også en gruppe scriptkiddies til gå løs. Derfor skal ALLE (selv MS) have en chance for at rette en fejl, inden udnyttelsen af fejlen offentliggøres. Hvis fejlen så stadig ikke er rettet, er man selvfølgelig nødt til at fortælle om den, så folk er advaret, men i første omgang er det bedre at indgå den medfølgende panik og en flok lamme scriptkiddies som kommer og smadrer andres filer. Og i de aller fleste tilfælde, bliver fejlene også rettet inden de bliver offentliggjort
#12 "Men ja, jeg tror faktisk et angreb på flere "større" kunder hos dem vil få dem til at komme ud af starthullerne."
Øhm undskyld mig men hvilke "større" kunder har et discounthotel som cliche jo er? Hvis jeg havde en forretning, så ville jeg da til hver en tid vælge at give de 50-100 kr om måneden som det koster, for at få den hosted et sted hvor de har styr på sådanne ting... Man får hvad man betaler for, også på webhoteller!
#15 vær dog glad for at vi bringer nyheden i det mindste!
Ved med det samme at gå ud og fortælle om den fejl der er på deres webhoteller, inviterer vi også en gruppe scriptkiddies til gå løs. Derfor skal ALLE (selv MS) have en chance for at rette en fejl, inden udnyttelsen af fejlen offentliggøres. Hvis fejlen så stadig ikke er rettet, er man selvfølgelig nødt til at fortælle om den, så folk er advaret, men i første omgang er det bedre at indgå den medfølgende panik og en flok lamme scriptkiddies som kommer og smadrer andres filer. Og i de aller fleste tilfælde, bliver fejlene også rettet inden de bliver offentliggjort
#15 - Hvis newz.dk havde postet nyheden uden videre, havde skaderne muligvis været ret katastrofale for cliche og deres kunder, da scriptkiddies med det samme ville prøve at udnytte sikkerhedshullet og pludselig ville en eller anden prøve rm -rf (eller hvordan det nu hedder på windows-systemer) og woila, alt for meget var væk. Tak newz.dk, så skulle du nok se en masse negative posts i forum fordi deres sites var væk pga. newz.dk's mangel på omtanke.
edit: pokkers #16, du er hurtig :-)
edit: pokkers #16, du er hurtig :-)
Er det kun mig der synes det er lidt uhensigsmæssigt ligefrem at skrive opskriften på at udnytte sikkerhedshullet i nyhedsteksten - det havde da været nok at skrive at det gav brugerne adgang til hinandens filer.
Så de der ved lidt om det sansynligvis godt regne ud hvordan man gør - men det giver ikke 10 årrige jens der leger med asp mulighed for at gøre noget dumt.
Så de der ved lidt om det sansynligvis godt regne ud hvordan man gør - men det giver ikke 10 årrige jens der leger med asp mulighed for at gøre noget dumt.
Jeg er desværre ikke specielt overrasket over nyheden, og det er bestemt ikke kun Cliche, der har dette problem. Det er også det samme problem på PHP-hoteller der ikke bruger safe_mode, som #10 også nævner. Jeg tror desværre mange webhoteller ikke er klar over, hvilke risici der er forbundet med at deres brugere kører scripts på deres servere. Til gengæld er mange af deres brugere nok heller ikke klar over hvilken skade de kan udrette.
#16:+19..
først og fremmest virker det næsten som noget religiøst om man tror på det ene eller på det andet.
anyways, det er sgu da ikke "rm -rf /" der er farlige her, det værste er sgu da folk der piller en smule ved indholdet, eller laver propaganda på andres websites, eller spyware installers - den slags. den slags man ikke bemærker.
hvis folk ikke ved at deres filer ligger åbent for alle til at ændre vil man ikke bemærke den slags ting her, men hvis folk bliver oplyst om problemet kan det være de vil være obs på den slags, lige tage backup og så evt. lukke siden til cliche-idioterne tager sig sammen til at finde en løsning.
først og fremmest virker det næsten som noget religiøst om man tror på det ene eller på det andet.
anyways, det er sgu da ikke "rm -rf /" der er farlige her, det værste er sgu da folk der piller en smule ved indholdet, eller laver propaganda på andres websites, eller spyware installers - den slags. den slags man ikke bemærker.
hvis folk ikke ved at deres filer ligger åbent for alle til at ændre vil man ikke bemærke den slags ting her, men hvis folk bliver oplyst om problemet kan det være de vil være obs på den slags, lige tage backup og så evt. lukke siden til cliche-idioterne tager sig sammen til at finde en løsning.
#21
Jepsen... mange mange mange webhoteller, java chats, PHP server osv. har åbne huller og fejl. Man skal virkelig passe på derude. Det tager ik 5 min at finde en fejl hvis man leder grundigt nok, men en så markant fejl som denne er alligevel skræmmene :S
Nice find MaCPaCk :)
Jepsen... mange mange mange webhoteller, java chats, PHP server osv. har åbne huller og fejl. Man skal virkelig passe på derude. Det tager ik 5 min at finde en fejl hvis man leder grundigt nok, men en så markant fejl som denne er alligevel skræmmene :S
Nice find MaCPaCk :)
Lige en lille historie til samlingen...
Mig og cypres(her fra newz.dk) driver til dagligt et mindre IT-firma, der primært laver hjemmesider. I forbindelse med nogle ændringer en af vores kunders hjemmeside opdagede vi en sikkerhedsfejl på DKviaNET's servere, ændringerne på kundens hjemmeside var database relaterede(MySQL), og da cypres ikke kunne finde DKviaNETs phpmyadmin, uploadede han selv en version. Pr default logger phpmyadmin ind med "root" som bruger og intet password. Og det var så det der skete da cypres og jeg åbnede phpmyadmin. Der var altså ingen adgangskode på root brugeren. Der sad vi så med DKviaNets database over deres domæner, kunder, e-mail-konti og password, dertil skal det porienteres at alle kunders adgangskoder lå som clear-tekst. Og vi havde fuld access(chmod 777). Vi var meget chokkerede og underrettede straks DKviaNET omkring fejlen, som hurtigt blev rettet...
cenzole
Mig og cypres(her fra newz.dk) driver til dagligt et mindre IT-firma, der primært laver hjemmesider. I forbindelse med nogle ændringer en af vores kunders hjemmeside opdagede vi en sikkerhedsfejl på DKviaNET's servere, ændringerne på kundens hjemmeside var database relaterede(MySQL), og da cypres ikke kunne finde DKviaNETs phpmyadmin, uploadede han selv en version. Pr default logger phpmyadmin ind med "root" som bruger og intet password. Og det var så det der skete da cypres og jeg åbnede phpmyadmin. Der var altså ingen adgangskode på root brugeren. Der sad vi så med DKviaNets database over deres domæner, kunder, e-mail-konti og password, dertil skal det porienteres at alle kunders adgangskoder lå som clear-tekst. Og vi havde fuld access(chmod 777). Vi var meget chokkerede og underrettede straks DKviaNET omkring fejlen, som hurtigt blev rettet...
cenzole
#20 nu er det jo kun skrevet som et hint, ikke som en konkret opskrift, så det er med henblik på, at dem der har forstand på hvad det drejer sig om, selv kan checke efter om de har fejlen på deres server. MaCPaCk sendte i øvrigt en komplet opskrift til os, på hvordan man installede nogle scripts som findes over alt på nettet, og som med lidt tilpasning som kunne udnytte det direkte, men denne har vi selvfølgelig ikke bragt.
Leger for sjovt med .asp - samt til dagligt arbejder jeg for IT afdelingen på SmartGuy.dk i jyderup.
HOLY FUCK!
"mekpek" er jo sikkerheds ekspert!!!
http://smartguy.dk/butik/VisEfterType.asp?mid=55&a...
welcome til interFUCKINGnettet, morrons!
PS: tak for kreditkort oplysningerne, smart smartguy.dk!
Hey Guys
Inden jeg overhoved valgte af sende nyheden til cliche.dk - Så kontaktet jeg cliche.dk pr. mail og ventede til de svaret tilbage..
Og de har skam svaret tilbage med af fejlen er fixet...
(Kan sige af det er den ikke, samt cliche.dk har fået en mail om dette.)
Jeg er ikke ude på af hacke nogen eller noget,, men ville derimod bare oplyse af selv "halv" store web hosting firma´er også kan have små/store fejl...
Ja kan oplyse af jeg har indsendt en til nyhed her på newz.dk, hvad fejlen præcis var samt hvilke script der er blevet brugt.
Om newz.dk har valgt af offentlig gøre den nyhed her på, er op til newz.dk
Men cliche.dk har som sagt skrevet tilbage til mig af fejlen er rettet, så jeg går udfra der intet problem i, er at sige hvad jeg præcis har gjordt...
Kan meddele af det er "stortset" alle asp servere, samt det er også testet på windows server 2003 asp... "samme fejl".
Igen, jeg håber ikke i tar denne her nyhed negativt...
//MaCPaCk
Inden jeg overhoved valgte af sende nyheden til cliche.dk - Så kontaktet jeg cliche.dk pr. mail og ventede til de svaret tilbage..
Og de har skam svaret tilbage med af fejlen er fixet...
(Kan sige af det er den ikke, samt cliche.dk har fået en mail om dette.)
Jeg er ikke ude på af hacke nogen eller noget,, men ville derimod bare oplyse af selv "halv" store web hosting firma´er også kan have små/store fejl...
Ja kan oplyse af jeg har indsendt en til nyhed her på newz.dk, hvad fejlen præcis var samt hvilke script der er blevet brugt.
Om newz.dk har valgt af offentlig gøre den nyhed her på, er op til newz.dk
Men cliche.dk har som sagt skrevet tilbage til mig af fejlen er rettet, så jeg går udfra der intet problem i, er at sige hvad jeg præcis har gjordt...
Kan meddele af det er "stortset" alle asp servere, samt det er også testet på windows server 2003 asp... "samme fejl".
Igen, jeg håber ikke i tar denne her nyhed negativt...
//MaCPaCk
Er der ikke en som har en hjemmeside der som vil lade sig "cracke"? Så kan vi også få testet om deres backup fungere da det jo må være dem som skal rette op på de data som Crackeren nu sletter/ændre? :)
Det ville først være rigtig sjovt hvis de ikke kan præsentere en ordenlig backup. ;)
Men.. Cool nyhed. :)
Det ville først være rigtig sjovt hvis de ikke kan præsentere en ordenlig backup. ;)
Men.. Cool nyhed. :)
#25
Skræmmende historie, og et udemærket eksempel på hvad der sker når folk ikke gider læse MySQL manualen. Det er hamrende uansvarligt, og det er rystende at tænke på, hvor almindelige disse problemer er. De fleste kan sikkert huske MySpooler ormen, der for noget tid siden inficerede mange Windows-baserede MySQL installationer, der havde svage eller ingen root passwords. På *nix er MySQL's standard root konto heldigvis mere restriktiv, da den kun kan forbinde via localhost (modsat Windows' der kan forbinde fra alle hosts). Men når man eksempelvis kører på phpMyAdmin, så ligger det jo ofte på samme maskine som MySQL, og så har den localhost-rettigheder. Man bør altid give root et password, som det også står højt og tydeligt i installations afsnittet i MySQL manualen.
En anden skræmmende ting jeg ofte ser, er at folk bliver anbefalet at chown 777 deres webbiblioteker eller sætte apache's konto som owner af web-bibliotekerne, når de har problemer med PHP-filuploads :S
Skræmmende historie, og et udemærket eksempel på hvad der sker når folk ikke gider læse MySQL manualen. Det er hamrende uansvarligt, og det er rystende at tænke på, hvor almindelige disse problemer er. De fleste kan sikkert huske MySpooler ormen, der for noget tid siden inficerede mange Windows-baserede MySQL installationer, der havde svage eller ingen root passwords. På *nix er MySQL's standard root konto heldigvis mere restriktiv, da den kun kan forbinde via localhost (modsat Windows' der kan forbinde fra alle hosts). Men når man eksempelvis kører på phpMyAdmin, så ligger det jo ofte på samme maskine som MySQL, og så har den localhost-rettigheder. Man bør altid give root et password, som det også står højt og tydeligt i installations afsnittet i MySQL manualen.
En anden skræmmende ting jeg ofte ser, er at folk bliver anbefalet at chown 777 deres webbiblioteker eller sætte apache's konto som owner af web-bibliotekerne, når de har problemer med PHP-filuploads :S
Haha.. Morsomt. Har lige opdaget præcis dem samme fejl i nat (!) ved min udbyder! :D Tror lige jeg sender ham et link...
Hey igen...
Jeg bruger newz.dk hverdag som startside....
Men syntes sku det er lidt larmt af mit nick MaCPaCk ikke kommer som ham bag nyheden her..!!!
Altså af crediten ikke går til mig, da det jo ikke er amok som har skrevet dette...
jeg kan ihvertfald ikke forstå hvad grunden til, af amokk tog crediten...
Jeg bruger newz.dk hverdag som startside....
Men syntes sku det er lidt larmt af mit nick MaCPaCk ikke kommer som ham bag nyheden her..!!!
Altså af crediten ikke går til mig, da det jo ikke er amok som har skrevet dette...
jeg kan ihvertfald ikke forstå hvad grunden til, af amokk tog crediten...
intet nyt cliche.dk - udstiller logfiles på diverse hostings,
fejl - bøf ? el. manglende forståelse for it-sikkerhed ?
mere flovt ...........
fejl - bøf ? el. manglende forståelse for it-sikkerhed ?
mere flovt ...........
#26
Tjah altså hvis jeg havde set sådan en nyhed da jeg lige var startet med at lege med asp tror jeg nok jeg kunne have fundet ud af hvordan det virkede på baggrund af det der står, og med den manglende viden jeg havde den gang kunne jeg sagtens ganske uforvarende have gjort skade, og hintet er i mine øjne helt unødvendigt - der er jo ingen her der har det mindste behov for at vide mere end at det kan lade sig gøre og eventuelt at det ikke kræver en phd at unytte.
Tjah altså hvis jeg havde set sådan en nyhed da jeg lige var startet med at lege med asp tror jeg nok jeg kunne have fundet ud af hvordan det virkede på baggrund af det der står, og med den manglende viden jeg havde den gang kunne jeg sagtens ganske uforvarende have gjort skade, og hintet er i mine øjne helt unødvendigt - der er jo ingen her der har det mindste behov for at vide mere end at det kan lade sig gøre og eventuelt at det ikke kræver en phd at unytte.
hvad fanden har det her med nyheder at gøre, som jeg ser det er det en gang piveri over at folk ikke gider høre efter wah wah det er så synd jeg er superhaggeren mekpek og de ignorerer mig bare :( :( :( waaaah
#39 Det sætter vel i høj grad fokus på kombinationen webhoteller og sikkerhed? Ifølge nyheden gad cliche ikke engang rette fejlen og det kan ingen da være tjent med. Hvis vi er heldige, får det andre webhoteller til at tænke sig en ekstra gang omkring sikkerheden på deres servere.
I har fuldstændig ret,, det var forkert af mig at bringe nyheden her på newz.dk
Så har sendt mail til newz.dk ang sletning af denne her nyhed...
Så har sendt mail til newz.dk ang sletning af denne her nyhed...
#42
Nyheden bliver ikke slettet. Vi bringer dog gerne en opdatering til den, såfremt nye verificerede fakta foreligger, f.eks. at hullet er lukket (og evt. har været det i x dage).
Nyheden bliver ikke slettet. Vi bringer dog gerne en opdatering til den, såfremt nye verificerede fakta foreligger, f.eks. at hullet er lukket (og evt. har været det i x dage).
#42
Hvis du vil have credit, skal du sende den ind via:
http://newz.dk/news-form.php
Hvis andre skal taste det ind for dig via formularen, bliver det jo i deres navn systemet registrere den. Og jo send endelig løs, vær ikke bange for at enkelte tuder over det... :)
Hvis du vil have credit, skal du sende den ind via:
http://newz.dk/news-form.php
Hvis andre skal taste det ind for dig via formularen, bliver det jo i deres navn systemet registrere den. Og jo send endelig løs, vær ikke bange for at enkelte tuder over det... :)
til macpack/mekpek:
Jeg HAR allerede tippet DK-CERT og politiet!
PREBEN ANDERSEN SPARKER DIN DØR IND OM 5 MINUTTER!
Jeg HAR allerede tippet DK-CERT og politiet!
PREBEN ANDERSEN SPARKER DIN DØR IND OM 5 MINUTTER!
#46&47
Det er korrekt at nyheden lå i vores system et stykke tid, men har bl.a. været fordi vi ville kontakte Cliche og informere dem om sagen, som nævnt tidligere i denne tråd.
Har svært ved at se at du kan blive sagsøgt for et hul som de jf. din egen udtalelse, har lukket.
Det er korrekt at nyheden lå i vores system et stykke tid, men har bl.a. været fordi vi ville kontakte Cliche og informere dem om sagen, som nævnt tidligere i denne tråd.
Har svært ved at se at du kan blive sagsøgt for et hul som de jf. din egen udtalelse, har lukket.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund