Das deutsche QBasic- und FreeBASIC-Forum

basic_null · Anmeldungsdatum: 06.12.2005 Beiträge: 1

hallo basicer

ich habe für einen bekannten eine website gebaut, und diese auf seinem server abgelegt

falls er irgendwann mal die logindaten des serverzugangs ändert, komme ich nicht mehr an die website

kann man ein einfaches basicprogramm schreiben welches ich auf dem server in dem verzeichniss zu der website ablege, wobei dieses programm dann von ausserhalb des servers startbar ist und die daten innerhalb des verzeichnisses in welchem die website abgelegt ist löscht ?

anders ausgedrückt: sollte der bekannte die logindaten zum server ändern, will ich nachträglich sozusagen "von aussen" die website löschen können da sie ja eigentlich meine website ist

wer kann mir helfen

gruss basic_null

Michael Frey · Verfasst am: 06.12.2005, 20:03 Titel:

Wenn du die Zugangsdaten nicht mehr hast oder nicht mehr haben wirdst, kannst du die Daten nicht löschen.
Die Idee mit einem Programm auf dem Server ablegen ist nicht schlecht, aber wenn du kein Zugangsrecht mehr hast, hast du woll kaum noch die Rechte ein Programm zustarten.
Zudem wird dein Bekannter dir kaum erlauben so ein Programm zu Installieren, besonders wenn du ihm nicht Traust.
Noch was: Wenn du die Daten vom Server löscht, kann er doch einfach ein Altes Backup aufspielen und dort deine Löschroutine entfernen ...

Überlege dir das nächste mal Vorher wem du eine Website gestaltest zwinkern

.
_________________
http://de.wikibooks.org/wiki/FreeBasic Jede Hilfe für dieses Buch ist Willkommen!
http://de.wikibooks.org/wiki/FreeBasic:_FAQ FAQ zu Freebasic (im Aufbau, hilfe Willkommen)
Neu mit Syntax Highlight

Sebastian · Verfasst am: 06.12.2005, 20:38 Titel:

Hallo,

wenn du ihm die Homepage erstellt hast, hast du sie ihm ja entweder geschenkt (übergeben) oder gegen Entlohung verkauft. Sie nachher ohne sein Einverständnis zu löschen wäre vermutlich sogar strafbar!

@All: Daher hier bitte keine Anleitungen zum Fabrizieren von bösartigen PHP-Scripts o.ä. posten!

Viele Grüße!
Sebastian
_________________

Die gefährlichsten Familienclans | Opas Leistung muss sich wieder lohnen - für 6 bis 10 Generationen!

dreael · Verfasst am: 06.12.2005, 23:32 Titel:

Unser alter im Vor-Internet-Zeitalter stammender Veteran QBasic ist da sicherlich fehl am Platz, daher habe ich mal das Thema ins Computer-Forum verschoben...

Da ich ja selber einen Webserver für Kunden betreibe, betrachte ich mal die Sache kurz nüchtern aus Linux-Perspektive. Ich als Betreiber A (=alleiniger "root"-Passwortbesitzer) habe für Kunde B Webspace eingerichtet - sprich "useradd -u ... -g ... userb" gemacht, mit "passwd userb" noch ein Default-Passwort gesetzt und dieses an B mitgeteilt. Dieser gibt diese Linux-Useraccount-Credentials an einen Webdesigner C weiter. @basic_null: Du bist diese Person C und B ist der Bekannte.

Du als C kannst momentan jederzeit FTP bzw "scp"/"sftp" machen, solange B nicht ein "passwd" aus PuTTY heraus für seinen eigenen Account macht und es ändert, dabei das neue Passwort (mit Absicht) nicht mitteilt.

Nun wäre offensichtlich Dein Wunsch, einen Selbstzerstörer einzubauen. Grundproblem: PHP-Scripting nützt Dir grundsätzlich nichts, weil der Apache-httpd-Daemin als "wwwrun" (Linux-Benutzerkonto mit sehr tiefen Rechten!) läuft, üblicherweise aber die .html und .php-Dateien den Owner B tragen und auf rw-r--r-- gsetzt sind (=nur lesbar für group und others).

Rein theoretisch noch am ehesten denkbar wäre ein "cron"-Job, der eine Art Power Agent wie bei unseren IT Security-Penetrationstests loslässt, weil dann ein Prozess mit Owner B statt bloss wwwrun entsteht, der logischerweise schreibend auf die Owner B-Dateien kommt. Gegenmassnahme für Deinen Bekannten wäre jedoch mit "crontab -l" vor dem "passwd" und nachsehen, ob da was Unerwünschtes läuft... Der Grossteil der Hoster gibt jedoch nicht soviel Freiheit, so dass FTP und bestenfalls irgend einer Plesk-Weboberfläche bereits alles ist.

Die weniger nette Art wäre beim Hoster nach einer "root privilege escalation"-Sicherheitslücke zu suchen und so den Webserver unter Kontrolle zu bringen. Allerdings läufst Du dann bald einmal in Handschellen herum, wenn aufgrund Deiner IP-Adresse und dem richterlichen Beschluss auf Dich geschlossen werden kann... ;-) (ausser Du warst so schlau, immer von unterwegs via offenem WLAN das Ganze durchzuziehen, wobei auch dort der scharf beobachtende Rentner aus der Nachbarschaft des WLAN-Access Point-Betreibers Deine Autonummer aufgeschrieben haben könnte ;-))

Fazit schlussendlich: Statt sich irgendwo in den halblegalen Bereich mit solchen Tricks zu begeben, muss man so etwas klar in einem schriftlichen Vertrag (die relativ teuren Honorare eines für den Vertragsentwurf herangezogenen Anwalts können hier sogar ausnahmsweise einmal gut investiert sein!), der von beiden Seiten her _vor_ Auftrag (Erstellung Website) unterzeichnet worden ist und jeder davon ein Original hat. Ist ein Stück weit wie Sache mit den Negativen, wenn man einen Profi-Fotograf für etwas beauftragt hat. Aber im Nachhinein sind solche Dinge immer schwieriger zu regeln...
_________________
Teste die PC-Sicherheit mit www.sec-check.net

Michael Frey · Verfasst am: 07.12.2005, 19:44 Titel:

Also so wie ich den Fall sehe, braucht es in diesem Fall kein vom Anwalt aufgesetzten Vertrag, ein Selbstgeschriebene Vertrag mit
Wer
was
Personen
Unterschrift
Preis
Leistungen
Datum (Wann geschrieben, was bis wann zu Leisten)
Besonderheiten (eben der Vorbehalt)
etc. tut es auch, Wichtig: Alle Unklarheiten klären und im Vertrag festhalten was wie gemeint ist.

@dreael
Kunde B kann ein Backup gezogen haben, das er dann auf einem Anderen Webserver wieder Online stellen kann . grinsen

_________________
http://de.wikibooks.org/wiki/FreeBasic Jede Hilfe für dieses Buch ist Willkommen!
http://de.wikibooks.org/wiki/FreeBasic:_FAQ FAQ zu Freebasic (im Aufbau, hilfe Willkommen)
Neu mit Syntax Highlight