Website gehackt

  • Das ist bei mir aktiv. Näher kann ich es mir im Moment nicht ansehen, da mein WCP-Zugang ja noch gesperrt ist. Ich erinnere mich, dass ich theoretisch auch alle Webinhalts-Ordner auf dieselbe Ebene wie das Verzeichnis /httpdocs legen könnte (also nicht rein, sondern daneben). Meinst du das? Aber auch dann befänden sie sich immer noch alle im selben, einzigen, von mir über den Dateibaum direkt erreichbaren Rootverzeichnis des Accounts. Das ist eben bei meinem bisherigen Hoster anders: Statt


    Root Kundenaccount

    - /Verz.

    - /Verz.

    - /httpdocs

    --- /Dateien Domain 1

    --- /Dateien Domain 2

    ...


    oder auch


    Root Kundenaccount

    - /Verz.

    - /Verz.

    - /Dateien Domain 1

    - /httpdocs

    - /Dateien Domain 2

    ...


    ist es da so:


    Root Domain 1 (von hier aus komme ich über den Dateibaum nicht zu den anderen Domains und ihren Inhalten)

    - /Verz.

    - /Verz.

    - /httpdocs

    --- /Dateien Domain 1

    ...


    Root Domain 2

    - /Verz.

    - /Verz.

    - /httpdocs

    --- /Dateien Domain 2

    ...


    usw.


    Ein netcup-Kundenberater sagte mir überdies am Telefon, ich solle die Domain-Ordner auf jeden Fall alle ins gemeinsame httpdocs-Verzeichnis legen, weil _alles andere_ eine Einschränkung der Sicherheit bedeute.

  • Warum ist das so - warum liegen standardmäßig die Inhalte aller Domains eines Accounts im selben Ordner? Bei meinem bisherigen Hoster hat jede Domain für den User ein eigenes Rootverzeichnis. Ist das nicht sowohl sicherer als auch kundenfreundlicher (da dann im Fall einer Kompromittierung nicht das komplette Webhosting gesperrt werden muss)?

    Das ist es, das geht bei netcup aber nur, wenn Du für jede Domain ein eigenes Webhosting-Paket buchst. Anders lässt es sich auch über die eingesetzte Verwaltungssoftware nicht realisieren.

  • In Plesk erhält der Kunde ein "Abonnement" mit fest zugewiesenen Ressourcen und einem Basisverzeichnis auf dem Server. Um verschiedene Domains voneinander unabhängig zu machen benötigt jede ein eigenes Abonnement, was schon deshalb nicht geht, weil man die von Dir gebuchten Leistungen/Ressourcen nicht dynamisch auf mehrere Abonnements verteilen kann. Die Lösung wäre also, mehrere Tarife zu buchen (oder: Managed Server).

  • Das "geht nicht" kann ich nicht bestätigen, da es bei meinem bisherigen Hoster, ebenfalls mit Plesk, durchaus geht.

    Wenn es bei netcup nicht so gemacht wird, weil vielleicht hier die Kundenaccounts an einer anderen Stelle anders verwaltet werden, akzeptiere ich das natürlich.

    Mehrere Abos kommen aus Kostengründen nicht in Frage, da muss ich mich ggf. dann doch weiter nach einem passenden Hoster umsehen.

  • Kann schon wieder nicht editieren, daher nochmal eine Eigen-Antwort. Vielleicht missverstehen wir uns ja. Um es nochmal deutlicher zu sagen: Vielleicht habe ich auch bei meinem anderen Hoster ein gemeinsames Basisverzeichnis für alle "meine" Daten. Das sehe ich aber nicht, als User habe ich keinen Zugriff darauf. Ich kann also über den Dateibaum nicht auf die Daten einer anderen Domain aus meinem Abo zugreifen. Dafür muss ich in die Konfigurationsoberfläche wechseln und die Verwaltung der anderen Domain aufrufen. Dann kann ich von dort aus auf deren Dateibaum zugreifen, und wieder nur auf den.

  • Je nach Tarif kannst du das hier auch, das nennt sich "Document-Root anpassen".

    Was nichts bringt, weil man mit PHP trotzdem auf die nächst höhere Ebene zugreifen kann. Der open_basedir ist trotzdem immer auf das Hauptverzeichnis des Kunden gesetzt.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Genau, das ist mein Problem.


    Habe es nochmal durchgerechnet. So wild wird es mit den Kosten gar nicht, wenn ich meine Projekte tatsächlich auf separate Webhosting-Abos verteile. Sie alle klein und anspruchslos, da reichen auch kleine Abos. So mache ich es nun.


    Danke euch allen für die Beratung und Hilfe!


    Liebe Grüße, Nina

  • Guten Tag,


    Quote

    Was nichts bringt, weil man mit PHP trotzdem auf die nächst höhere Ebene zugreifen kann. Der open_basedir ist trotzdem immer auf das Hauptverzeichnis des Kunden gesetzt.


    open_basedir kann in den PHP-Einstellungen auch auf das Document-Root der Domain gesetzt werden. Dieses kann wiederum unterhalb von /httpdocs angelegt werden, damit die Default-Domain nicht auf dieses Zugriff bekommt.



    Mit freundlichen Grüßen


    Felix Preuß

  • Guten Tag,



    bei einem nachvollziehbaren Abuse müssen wir das gesamte Abonnement sperren. Wir können hier nicht zuerst die Scripte unserer Kunden prüfen bis es zu einer Sperre kommt. Das ist kosten technisch nicht umsetzbar.




    Mit freundlichen Grüßen


    Felix Preuß

  • open_basedir kann in den PHP-Einstellungen auch auf das Document-Root der Domain gesetzt werden. Dieses kann wiederum unterhalb von /httpdocs angelegt werden, damit die Default-Domain nicht auf dieses Zugriff bekommt.

    Hoppla, diese Möglichkeit habe ich verschwitzt. Sorry! Das müssen Vorboten der Verkühlung gewesen sein… ?

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Meine Website enthält:

    - HTML

    - PHP-Includes

    - Javascript, das Tabelleninhalte ausliest.

    Mal zu den oberen Vorschlägen mit htmlspecialchars:

    Das sieht mir nicht nach einer Kompromitierung der DB aus. Hast du vielleicht irgendwo ein PHP-Script drin, das den File-Upload unterstützt? Vielleicht eins zum Hochladen von Bildern oder ähnlichem? Wenn das nicht vernünftig abgesichert ist, könnte das auch der Übeltäter sein, da sich darüber dann einfach PHP-Dateien hochladen lassen, die anschließend auf dem Server direkt ausführbar sind.

    Also falls du das Problem bisher noch nicht gefunden hast, würde ich auch mal gezielt danach suchen.

  • Ich hatte es mittlerweile gefunden: Der Bösewicht war ein uraltes Gästebuch, das noch auf der Seite herumlag. Ich hatte es schon eine Weile nicht mehr in Gebrauch und daher völlig aus den Augen verloren.


    Danke für deinen Tipp!