Jhead auf Debian installieren

Dieses Thema im Forum "Webspace und Server" wurde erstellt von Markus79, 22 Juni 2010.

  1. Markus79

    Markus79 Neuer Benutzer

    Hallo zusammen
    Ich würde gerne für meine Gallerie (photoplog) jhead installieren, damit ich die Exif-Daten anzeigen lassen kann. Das ganze lief vor einem Serverumzug auch schon bzw. hatte ich es installiert. Nun bekomme ich es nicht mehr hin.

    Dazu muß ich sagen, dass ich mich nicht gerade sehr gut mit Debian auskenne und daher vielleicht auch ein Fehler vorliegt.

    Hier mal ein paar Eckdaten des Servers:
    • PHP Version 5.2.6-1+lenny8
    • Server API: CGI/FastCGI
    • Configuration File (php.ini) Path: /etc/php5/cgi
    • Loaded Configuration File /var/syscp/fcgi/XXXXX/XXXXX/php.ini
    • additional .ini files parsedwerden liegen in /etc/php5/cgi/conf.d/
    Jhead habe ich runter geladen und entpackt, aber was kommt nun?
    Wohin muß ich die Dateien packen und muß ich noch irgendwas in der php.ini eintragen damit es läuft?
    Ich hatte mal irgendwo ein englischsprachiges Tutorial gefunden, welches aber nicht mehr zu geben scheint. Damit hatte ich das auf dem alten Server installiert.

    Ich hoffe mir kann hier einer Tipps geben, damit ich das am laufen bekomme.

    Gruß Markus
     
  2. rellek

    rellek relativ sensationell Mitarbeiter

    Hm....

    als root:
    apt-get install jhead

    Vielleicht?
    Also so würd ichs mal ganz spontan probieren :)
     
  3. Markus79

    Markus79 Neuer Benutzer

    Habe ich ausprobiert und dann den Pfad bei photoplog -> exif eingetragen, aber es wird nix angezeigt.

    Ich denke mal ehr, dass bei dem neuen Server wegen dem CGI nicht klappt. Vorher lief da ???? weiß nicht mehr 8| X(

    Ich werde es morgen aber nochmal ausprobieren.
     
  4. rellek

    rellek relativ sensationell Mitarbeiter

    Wird vorher als Apache-Modul gelaufen sein. Hat grundsätzlich aber nichts zu bedeuten, weil das nur die Frage ist, wie PHP gestartet wird und nicht was für Erweiterungen PHP nutzen kann.

    Hm, aber jhead scheint eher nicht als PHP-Extension zu laufen. Musst du einen Pfad zu jhead in deiner Galerie eingeben? Dann könnte es sein, dass jhead mit dem Befehl exec() oder system() aufgerufen wird. Aus Sicherheitsgründen sind diese Befehle aber auf vielen OS-Images für Server deaktiviert.

    Da würde ich das erst einmal herauszubekommen versuchen und dann in der php.ini nach einer Zeile suchen, die mit
    disable_function=
    anfängt und dort den entsprechenden Befehl freigeben.

    Nicht vergessen, den Apache neuzustarten:
    apache2ctl restart

    Aber sei dir bitte im Klaren darüber, dass diese Funktionen (system, exec usw) nicht ohne Grund deaktiviert wurden :!:
     
  5. Markus79

    Markus79 Neuer Benutzer

    Hi

    Ja diese Funktionen sind deaktiviert.
    Bei photoplog kann ich einstellen, ob exec oder shell_exec. Letztere ist auch deaktiviert.

    Dein letzter Satz gibt mir aber anlaß darüber noch einmal nach zu denken, ob ich diese Funktion überhaupt brauche. (danke :D)
    Kannst du mir bitte sagen, was man damit alles anstellen kann?
     

    Anhänge:

  6. rellek

    rellek relativ sensationell Mitarbeiter

    Also PHP läuft ja bei dir als FCGI. Das bedeutet, dass es einen (virtuellen) Benutzer gibt, unter dessen Namen und mit dessen Rechten die PHP-Scripte ausgeführt werden.

    Damit das alles so funktioniert wie es soll, gehören deine HTDocs (also alle deine Daten, die aus dem Internet zugreifbar sind) genau diesem Benutzer.

    Die gesperrten Befehle lassen sich zum grossen Teil dazu nutzen, Shell-Befehle auszuführen. Also DB-Backup erstellen, Dateien manipulieren, löschen, verschieben - halt alles, was man auf einer Shell-Konsole auch könnte.

    Wenn nun also jemand es hinbekommt, eine PHP-Datei (oder eine andere, die vom PHP-Interpreter ausgeführt wird) auf dem Server abzulegen, sodass sie im Browser ausführbar ist, dann kann man damit schönen Schindluder treiben.

    Man könnte etwa ein SQL-Passwort auslesen aus einer Config-Datei und dann ein DB-Dump ziehen und hätte wertvolle E-Mailadressen. Oder man könnte deine HTDocs komplett löschen. Oder einen Wurm einschleusen. Oder oder oder. Wie gesagt: PHP läuft innerhalb deiner htdocs quasi mit root-Rechten (relativ zu deinem Zeug, nicht bezogen auf den Server).

    Es braucht nur eine Möglichkeit, beliebigen PHP-Code auszuführen. Die klassische Variante ist das Hochladen einer PHP-Datei in einen ungesicherten Ordner. Aber es ginge auch mit dem vB-Plugin-System. Da müsste man nur ein Plugin erstellen, das einen solchen Upload erlaubt. Oder man nutzt direkt das Plugin-System. Man liest eine PHP-Datei von einem fremden Server ein und sagt dann einfach, dass dies ge-eval-t werden soll. Wenn eine Funktion wie shell_exec() aktiviert ist, liegt das Kind im Brunnen.

    Wenn natürlich sicher gestellt ist, dass sowas nicht passiert (Upload oder Einbruch ins ACP), dann kann man diese Funktion natürlich aktivieren. Aber wie gesagt, ohne Grund ist sie nicht deaktiviert.
     
  7. Markus79

    Markus79 Neuer Benutzer

    Hi Stefan

    Vielen dank für die ausführliche Erläuterung.
    Ich lasse das dann mal lieber mit den exif. Zwar habe nur ich Zugang zum Server und die adminCP's umbenannt, htaccess benutzt und schwierige PW's, die ich selber nicht merken kann, aber auch ein blindes Meerschwinchen findet mal eine Zintrone.

    Ich denke da sind mir die Daten meiner User wichtiger als solch ein kleines Feature zu nutzten, oder irgendwann nicht mehr auf meinen Foren zu kommen.

    Ich danke dir vielmals :thumbsup:
     
  8. rellek

    rellek relativ sensationell Mitarbeiter

    Man könnte, um mal zum eigentlichen Problem zurück zu kommen, natürlich den Autor des Addons fragen, ob es denn möglich sei, optional auch die PHP-eigenen Exif-Funktionen zu nutzen ;)

    PHP muss natürlich entsprechend kompilliert sein, aber dein Server klingt so ein klein wenig nach einem Hetzner-Server mit dem Lenny-SysCP-Image - und zu dem kann ich dir sagen, dass die Exif-Funktionen da verfügbar sind.
     
  9. Markus79

    Markus79 Neuer Benutzer

    Hi
    Mit dem Anbieter liegste richtig :D

    Mhhh das mit der PHP-eigenen Exif-Funktion wäre natürlich klasse, bloß tut sich bei denen im Forum nicht wirklich was und durch das vB4 noch weniger. Der ist wohl am rumcoden. Da meine Lizenz dort abgelaufen ist, würde mir ein Update da eh nicht helfen und es ist fraglich, ob das dann überhaupt fürs vB3 noch umgesetzt werden würde. Ich denke ja ehr weniger. Weiß aber auch nicht, wieviel Arbeit das ist.
     

Diese Seite empfehlen

  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deinem Erleben anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden