Fatalerweise hat das proftpd Paket einen User ftp mit dem Kennwort ! in der Standardkonfiguration, somit kann JEDER im Homeverzeichnis des ftp-Users z.B. ein Verzeichnis public_html anlegen und dort lustige php Skripte hochladen. Diese sind dann unter http://ServerIP/~ftp/script.php erreichbar. Deswegen in die /etc/proftpd.conf folgendes eintragen: AuthOrder mod_sql.c und auf der shell dies ausführen: “apache-modconf apache disable mod_userdir”.
Debian, SysCP und proftpd
von MedienDeZign | Dez 27, 2012 | GNU/Linux