Sicherheitslücke einbauen

[Luze]

Hallo Leute!

Ja, das klingt nun vielleicht kurios aber es ist mein voller Ernst.
Ich möchte gerne wissen, wie ich eine Sicherheitslücke für PHP einbaue.

Es geht darum, dass ich mit einem Bekannten einen vServer betreibe, ich trage dabei alle Kosten, jedoch ist der vServer im Moment über ihn angemeldet. Muss leider so sein, gibt aus organisatorischen Gründen keine alternative.
Da ich die Person auch nur über das Internet kenne, vertrau ich ihr nicht total, deshalb möchte ich mir die Option offen halten, FALLS irgendetwas passiert (Übernahme der Domain, "Stehlen" des Forums etc. (wobei Domainübernahme das schlimmste wäre)) irgendwie Zugriff zu erlangen.

Viele werden jetzt sagen "Lücke? Einbauen? Das Teil hat so viele Lücken das braucht keine zusätzlichen" - das kann sein - ich weiß es nicht, jedoch bin ich nicht auf dem Wissensniveau um mit diesen umzugehen.
Hat jemand eine Idee oder einen Vorschlag, wie ich eine Sicherheitslücke einbaue?

Bitte keine Moralprädigen falls es nicht geht, so sein soll oder es für Falsch empfunden wird. Ich habe keine bösen Absichten. In dem Fall ist manchmal schweigen besser

Wäre um einen Lösungsansatz dankbar
Grüße aus Hessen,

Luze

//EDIT:
Es handelt sich um eine phpBB 2.0.22 Version.

 

[Heinzelotto]

also wenn ich eine hintertür in einen server machen wollte, dann sicher nicht über ein bug in einem php-script. wenn, dann würde ich z.B. einen zweiten ssh-server auf einem anderen port laufen lassen (wenn er nciht viel ahnung vom system hat, fällt ihm das nicht auf. Die sicherste möglichkeit, die kontrolle zu haben, ist aber sicherlich, ihm einfach ein (nochmal) virtualisiertes Betriebssystem zu geben, also z.B. per openvz oder so.

 

[[starfoxx]]

Die Warez Scene baut nach diesem System sog. "Stros" bzw. Str0s.
Gibt da schon fertig gestealthte Anwendungen und Sachen, das würdest du nicht glauben.

Grundsätzlich ist das aber eher schwierig da vServer.

Ist es nicht möglich dir einen Admin Account zu geben, und ihm lediglich einen beschnittenen? Oder was heisst "läuft über ihn" genau?

Mir wäre dabei nicht geheuer. Mir fielen da auf Anhieb ein paar dinge ein die ich mit einem vServer anstellen könnte wenn mein Name nirgendwo auftaucht, im Zusammenhang...

Das mit PHP kannst du ziemlich vergessen...
Rootacc über PHP wird dann doch eher unkomfortabel (bestenfalls ne shell)

 

[da_fighter]

Vll kannst du das gebrauchen

http://mgeisler.net/php-shell/

 

[Elderan]

Hallo,
wie schon gesagt, den Ansatz über PHP kannst du eigentlich komplett vergessen.

Was du machen kannst sind folgende Sachen, die deutlich sicherer und auch leichter zu Implementieren sind:

1. Eingeschränkte Rechte
Du hast als _einziger_ Root-Rechte auf dem Server und dieser Mister X bekommt nur einen eingeschränkten Useraccount.
Sollte dies nicht gehen, tritt Stufe 2 inkraft.

2. V-Server
Du hast als einziger Zugriff auf den Server und erstellst dann auf diesem einen vServer für deinen Mister X.
Evt. klappt dies auch nicht, weil vServer auf vServer schon etwas komisch ist.


Dies Schützt aber leider nicht gegen Domain-Übernahmen oder gegen Software-Resets seitens des Hosters, ausgelöst durch den Inhaber (Mister X).

Irgendwie ist das auch schon etwas komisch, dass du die Rechnung zahlen darfst und er der Inhaber ist.
Wieso ist der vServer nicht auf eine Person angemeldet, der du vertraust? Deinen Eltern oder guten Freunden?
Da irgendwie zu tricksen bringt im Worste-Case nicht viel, der stellt einen KK-Antrag für die Domain, bestätigt diesen und schon zieht die Domain zu einem anderen Hoster um, komplett außerhalb deiner Reichweite.

 

[weau]

Rein Rechtlich gesehen ist es ja der Vserver deines Bekannten, auch wenn du die Rechnungen bezahlst - er hat einen Kaufvertrag abgeschlossen.
Frag doch mal hier im Forum nach, ob dir einer einen Vserver auf seinem Root einrichten kann?

 

[cpt.flokati]

Entgegegen deiner Bitte, dir ne IT-Lösung zu geben, gibts auch noch ne einfache Lösung, ohne den Account zu verändern.
Da er der Eigentümer der Servergeschichte ist, hat er auch die Verpflichtung für alle Rechnungen aufzukommen.Also für den Fall das er mit dem Server "abhaut". Hast eigentlich keine Verpflichtungen.
Oder gehts dir um dei Daten die auf den Server liegen?
Ich weiß jetzt nicht, wie es zustandegekommen ist, das du zahlen sollst. Aber solange du keine Bürgschaft etc. unterschrieben hast kann dir die Zahlungsaufforderung, von seiner Seite aus, an Rücken vorbeigehen.
Soviel dazu, falls das jetzt nicht den Nerv getroffen hat, korrigier mich bitte.

Cpt.Flokati