Sicherheit von Datenbanken

Das kommt ganz darauf an. Zunächst muss man verstehen, wie ein Hack funktioniert. Es gibt dabei verschiedene Möglichkeiten für einen Angriff. Zum Beispiel kann man die Datenbank mittels SQL-Injection direkt angreifen aber auch der von Dir beschriebene FTP-Hack ist sehr gängig.

Leider ist die Webseite isatcis.com gerade im Umbau. Da lernt man am lebendigen Beispiel, welche Möglichkeiten eines Hacks es gibt und wie man Sicherheitslücken ausnutzen oder umgehen kann. Generell ist es so, wenn man einen FTP-Zugriff auf die Startseite hat, kann man diese umleiten, löschen oder was weiß ich damit machen.

- Berechtigungen sind gesetzt
- Backup werden täglich vom Server gemacht und 2 x die Woche nochmals von mir
- Passwörter ändern, ganz klar
- config.php muß ich mal schaun

Ich glaube, wenn ich keinen direkten FTP-Zugang konfiguriert habe, sollte das eigentlich auch schonmal viel Wert sein? Ich habe jetzt gehört, das über FTP-Zugänge die Index-Seite gelöscht wurde und das ganze umgeleitet worden ist auf eine Virusseite mit der Endung .ru

Klar, wenn man die Startseite verändern kann, dann ist alles möglich.

Bist Du Dir sicher, dass der Web-FTP auch nur über das Web möglich ist? Also hast Du schon mal versucht via FTP-Client mit den gleichen Zugangsdaten auf den Server zuzugreifen?

Den Web-FTP kannst Du aber eigentlich nur über de Strato Kundenplattform starten. Müsste ich mal ausprobieren.

Für meine private Seite und für die Fanclubseite gehe ich über Frontpage rein und nicht über den Web-FTP. Nur für das Forum gehe ich übers Web-FTP.

Wenn Du mit Frontpage rein gehst, ist das wie ein lokaler Client. Im Grunde nich wie, sondern es ist ein lokaler Client. Du kannst mit FP die Daten online bearbeiten korrekt?

der_booker schrieb:

Wenn Du mit Frontpage rein gehst, ist das wie ein lokaler Client. Im Grunde nich wie, sondern es ist ein lokaler Client. Du kannst mit FP die Daten online bearbeiten korrekt?

Ja, Dateien uploaden und downloaden. Geht über eine Java-Anwendung.

Ist Frontpage als lokaler Client negativ oder positiv? Lokaler Client meinst Du nur von meinem Computer aus?

der_booker schrieb:

Schutzmöglichkeiten:
* Verwendung von anderen Namen als config.php <-- ist wie eine Einladung
* Berechtigungen setzen!

Die config.php heisst bei mir config.inc.php, ist das ok?

Für den WEB-FTP kann man keine Berechtigungen festlegen. Geht nur übers Kundenlog-in.

havanesertreff schrieb:
Ist Frontpage als lokaler Client negativ oder positiv? Lokaler Client meinst Du nur von meinem Computer aus?

Das zeigt nur, dass man auch mit einem FTP-Client arbeiten kann. Sprich, kommt ein Hacker an Deine Daten, kann er die Startseite verbiegen respektive auf seine Domain umleiten. Weiterhin kommt er so an Deine weiteren Zugangsdaten ran, da er auch auf die Konfigurationsdatei zugreifen kann.

Also fasse ich zusammen:

Am besten mit dem Web-FTP von Strato aufspielen und keine lokalen FTP-Zugänge benutzen, denn die kann ich sperren, habe das gestern mal ausprobiert. Da ging auch über Frontpage nichts mehr, ergo gehe ich mal davon aus das NIEMAND von aussen dann per FTP was aufspielen kann?!

Hallo Jörg,

nicht wirklich. Der FTP-Zugang ist ja da, und es ist möglich, von einem lokan Client auf Dein WebVerzeichnis zuzugreifen. Sprich errate ich die Daten oder komme an die FTP-Daten ran, könnte ich Deine Struktur verändern. Von daher mein Rat, regelmäßig die Passwörter ändern, und mit komplexen Passwörtern arbeiten, also nicht Hasi2010 oder so sondern so etwas wie Ac2HkLö#9Wd36,$. Je länger und je komplexer, um so unwahrscheinlicher der Angriff. Diese Methode hat alerdings wieder einen Nachteil, man kann sich das PW nicht merken und was tut man(n) dann? Richtig, man schreibt es auf einen Zettel. Den lässt man(n) liegen und schon haben wir das Problem. Von daher mein nächster Rat für ein PW, welches immer noch komplex ist, aber ohne Zettel zu merken.
Sa20#10$ng. Dazu die Erklärung, vor mir steht ein Samsung-Monitor und wir haben das Jahr 2010, beide Sachen dienen als Eselsbrücke und sind leicht zu merken.Dennoch ist das PW komplex und nicht so schnell durch eine Brute-Force-Attacke zu knacken.

Nun klinke ich mich hier einmal ein.

Wie Heiko schon sagt, Passwörter sollten eine Mindestsicherheit besitzen.
Das Thema Sicherheit hört an der Stelle aber nicht auf.

FTP egal ob über den Browser oder einen anderen Client halte ich bei den meisten Hostern nicht so sicher.
Wenn es geht SFTP als Protokoll, statt Ftp.
Ein anderes großes Problem, die Anzahl der Login-Fehlversuche.

Probier einmal selbst, wie oft Du für Dein FTP ein falsches Passwort eingeben kannst.
Oder lass mal eine Brutforce attacke gegen deinen FTP Account laufen. Schnell kommt da die Ernüchterung.

Komplexe Passwörter können sich nur geübte merken. Andere speichern die fein in einer Textdatei.
Die Passwörter werden dann mit copy&paste in die Login-Maske eingefügt. Das ist echt risky! Es gibt kleine feine Programme, die die Zwischenablage überwachen. Schwubs hat es auch jemand anderes.

Die Ãœbertragung der Passwörter übers Netz.
Das große Staunen kommt wenn man sich einmal "ethereal" auf den Rechner installiert und einmal schaut, welche Daten im Klartext übertragen werden. Das Programm liest die Daten die über das Netzwerk gesendet um empfangen werden.
Alle Daten die Du dort sehen kannst, kann jeder andere auch lesen.

Die möglichen Angriffsstrategien sind genauso vielfältig wie Du eine Webseite erstellen kannst. Quasi endlos.

Sinnvoll wäre es sich mit dem Thema Sicherheit intensiv zu beschäftigen. Die Annahme dass man durch ein gutes FTP Passwort die bösen Jungs aussperrt wäre blauäugig.

Was hältst Du von der Ãœberlegung. "Ich werde gehackt, wie bekomme ich meine Seite wieder an den Start".

Backup aller Dateien auf dem Server
Stündliches Backup der Datenbank
Wenn schon gehackt, dann hat man die Daten noch()

Fazit: Webmaster sind für die Datensicherheit verantwortlich. U.u. kann man für mangelhafte Sicherheitsvorkehrungen haftbar gemacht werden.
Letztes Beispiel: Offene WLan Netze

Büffeln Büffeln Büffeln