havanesertreff
Themenersteller
Call-Center
Guru (164 Beiträge)

Sicherheit von Datenbanken

am 12.08.2010, 09:49 Uhr eröffnete havanesertreff folgenden Thread
Sicherheit    4101 mal gelesen    22 Antwort(en).

Hallo Zusammen.
mich beschäftigt seit Eröffnung meines Forums die Frage: Können wir gehackt werden und wenn ja, wie kann man sich schützen?
Ich betreibe mein Forum ja mit der WBB Software, die Datenbank liegt auf einen Stratoserver. Dort kann man u.a. einen Schreibschutz aktivieren, den ich bei einem Forum aber nicht anwenden kann, sonst kann es zu Problemen mit dem Forum kommen.
Habe aber jetzt gehört, das die Datenbank mit einem FTP-Zugang geknackt werden kann? Habe allerdings keinen aktiven FTP-Zugang eingerichtet, Änderungen z.B. an der Indexseite fahre ich immer über den Web-Ftp-Zugang direkt über Strato hoch.

Was meint Ihr, kann man sich noch anders schützen außer Backup, Backup, Backup?
Gruß
Jörg


https://www.havanesertreff.de

der_booker
Foren Moderator
selbständig
(2762 Beiträge)
am 12.08.2010, 11:58 Uhr schrieb der_booker

Das kommt ganz darauf an. Zunächst muss man verstehen, wie ein Hack funktioniert. Es gibt dabei verschiedene Möglichkeiten für einen Angriff. Zum Beispiel kann man die Datenbank mittels SQL-Injection direkt angreifen aber auch der von Dir beschriebene FTP-Hack ist sehr gängig.

Leider ist die Webseite isatcis.com gerade im Umbau. Da lernt man am lebendigen Beispiel, welche Möglichkeiten eines Hacks es gibt und wie man Sicherheitslücken ausnutzen oder umgehen kann. Generell ist es so, wenn man einen FTP-Zugriff auf die Startseite hat, kann man diese umleiten, löschen oder was weiß ich damit machen.



Schutzmöglichkeiten:
* regelmässige Änderung der Passwörter!
* Verwendung von verschachtelten Konfigurationsdateien
* Verwendung von anderen Namen als config.php <-- ist wie eine Einladung
* Verwendung von zusätzlichen Datenbanken für die Hinterlegung von Passwörtern
* Irreführung, es werden zwar Logindaten hinterlegt, doch die haben keine Verwendung, durch Pseudofunktionen wird simuliert, dass diese Zugangsdaten nützlich sein könnten.
* Passwortverschlüsselung
* das von Dir angesprochene Backup, ganz klar!
* Am besten ist es, wenn der Webauftritt auf einem eigenen Server und einer eigenen Firewall liegt.
* Berechtigungen setzen!


Heiko Jendreck
personal helpdesk
http://www.phw-jendreck.de
http://www.seo-labor.com

havanesertreff
Call-Center
Guru (164 Beiträge)
am 12.08.2010, 12:03 Uhr schrieb havanesertreff

- Berechtigungen sind gesetzt
- Backup werden täglich vom Server gemacht und 2 x die Woche nochmals von mir
- Passwörter ändern, ganz klar
- config.php muß ich mal schaun

Ich glaube, wenn ich keinen direkten FTP-Zugang konfiguriert habe, sollte das eigentlich auch schonmal viel Wert sein? Ich habe jetzt gehört, das über FTP-Zugänge die Index-Seite gelöscht wurde und das ganze umgeleitet worden ist auf eine Virusseite mit der Endung .ru


https://www.havanesertreff.de

der_booker
Foren Moderator
selbständig
(2762 Beiträge)
am 12.08.2010, 12:08 Uhr schrieb der_booker

Klar, wenn man die Startseite verändern kann, dann ist alles möglich.

Bist Du Dir sicher, dass der Web-FTP auch nur über das Web möglich ist? Also hast Du schon mal versucht via FTP-Client mit den gleichen Zugangsdaten auf den Server zuzugreifen?


Heiko Jendreck
personal helpdesk
http://www.phw-jendreck.de
http://www.seo-labor.com

havanesertreff
Call-Center
Guru (164 Beiträge)
am 12.08.2010, 13:04 Uhr schrieb havanesertreff


Den Web-FTP kannst Du aber eigentlich nur über de Strato Kundenplattform starten. Müsste ich mal ausprobieren.

Für meine private Seite und für die Fanclubseite gehe ich über Frontpage rein und nicht über den Web-FTP. Nur für das Forum gehe ich übers Web-FTP.


https://www.havanesertreff.de

der_booker
Foren Moderator
selbständig
(2762 Beiträge)
am 12.08.2010, 20:55 Uhr schrieb der_booker

Wenn Du mit Frontpage rein gehst, ist das wie ein lokaler Client. Im Grunde nich wie, sondern es ist ein lokaler Client. Du kannst mit FP die Daten online bearbeiten korrekt?


Heiko Jendreck
personal helpdesk
http://www.phw-jendreck.de
http://www.seo-labor.com

havanesertreff
Call-Center
Guru (164 Beiträge)
am 12.08.2010, 23:20 Uhr schrieb havanesertreff

der_booker schrieb:

Wenn Du mit Frontpage rein gehst, ist das wie ein lokaler Client. Im Grunde nich wie, sondern es ist ein lokaler Client. Du kannst mit FP die Daten online bearbeiten korrekt?



Ja, Dateien uploaden und downloaden. Geht über eine Java-Anwendung.

Ist Frontpage als lokaler Client negativ oder positiv? Lokaler Client meinst Du nur von meinem Computer aus?

der_booker schrieb:

Schutzmöglichkeiten:
* Verwendung von anderen Namen als config.php <-- ist wie eine Einladung
* Berechtigungen setzen!



Die config.php heisst bei mir config.inc.php, ist das ok?

Für den WEB-FTP kann man keine Berechtigungen festlegen. Geht nur übers Kundenlog-in.


https://www.havanesertreff.de

der_booker
Foren Moderator
selbständig
(2762 Beiträge)
am 13.08.2010, 14:17 Uhr schrieb der_booker

havanesertreff schrieb:
Ist Frontpage als lokaler Client negativ oder positiv? Lokaler Client meinst Du nur von meinem Computer aus?



Das zeigt nur, dass man auch mit einem FTP-Client arbeiten kann. Sprich, kommt ein Hacker an Deine Daten, kann er die Startseite verbiegen respektive auf seine Domain umleiten. Weiterhin kommt er so an Deine weiteren Zugangsdaten ran, da er auch auf die Konfigurationsdatei zugreifen kann.


Heiko Jendreck
personal helpdesk
http://www.phw-jendreck.de
http://www.seo-labor.com

havanesertreff
Call-Center
Guru (164 Beiträge)
am 13.08.2010, 15:02 Uhr schrieb havanesertreff

Also fasse ich zusammen:

Am besten mit dem Web-FTP von Strato aufspielen und keine lokalen FTP-Zugänge benutzen, denn die kann ich sperren, habe das gestern mal ausprobiert. Da ging auch über Frontpage nichts mehr, ergo gehe ich mal davon aus das NIEMAND von aussen dann per FTP was aufspielen kann?!


https://www.havanesertreff.de

der_booker
Foren Moderator
selbständig
(2762 Beiträge)
am 13.08.2010, 19:41 Uhr schrieb der_booker

Hallo Jörg,

nicht wirklich. Der FTP-Zugang ist ja da, und es ist möglich, von einem lokan Client auf Dein WebVerzeichnis zuzugreifen. Sprich errate ich die Daten oder komme an die FTP-Daten ran, könnte ich Deine Struktur verändern. Von daher mein Rat, regelmäßig die Passwörter ändern, und mit komplexen Passwörtern arbeiten, also nicht Hasi2010 oder so sondern so etwas wie Ac2HkLö#9Wd36,$. Je länger und je komplexer, um so unwahrscheinlicher der Angriff. Diese Methode hat alerdings wieder einen Nachteil, man kann sich das PW nicht merken und was tut man(n) dann? Richtig, man schreibt es auf einen Zettel. Den lässt man(n) liegen und schon haben wir das Problem. Von daher mein nächster Rat für ein PW, welches immer noch komplex ist, aber ohne Zettel zu merken.
Sa20#10$ng. Dazu die Erklärung, vor mir steht ein Samsung-Monitor und wir haben das Jahr 2010, beide Sachen dienen als Eselsbrücke und sind leicht zu merken.Dennoch ist das PW komplex und nicht so schnell durch eine Brute-Force-Attacke zu knacken.


Heiko Jendreck
personal helpdesk
http://www.phw-jendreck.de
http://www.seo-labor.com

romacron
JDev Xer
Content Gott (1224 Beiträge)
am 14.08.2010, 11:19 Uhr schrieb romacron

Nun klinke ich mich hier einmal ein.

Wie Heiko schon sagt, Passwörter sollten eine Mindestsicherheit besitzen.
Das Thema Sicherheit hört an der Stelle aber nicht auf.

FTP egal ob über den Browser oder einen anderen Client halte ich bei den meisten Hostern nicht so sicher.
Wenn es geht SFTP als Protokoll, statt Ftp.
Ein anderes großes Problem, die Anzahl der Login-Fehlversuche.

Probier einmal selbst, wie oft Du für Dein FTP ein falsches Passwort eingeben kannst.
Oder lass mal eine Brutforce attacke gegen deinen FTP Account laufen. Schnell kommt da die Ernüchterung.

Komplexe Passwörter können sich nur geübte merken. Andere speichern die fein in einer Textdatei.
Die Passwörter werden dann mit copy&paste in die Login-Maske eingefügt. Das ist echt risky! Es gibt kleine feine Programme, die die Zwischenablage überwachen. Schwubs hat es auch jemand anderes.

Die Ãœbertragung der Passwörter übers Netz.
Das große Staunen kommt wenn man sich einmal "ethereal" auf den Rechner installiert und einmal schaut, welche Daten im Klartext übertragen werden. Das Programm liest die Daten die über das Netzwerk gesendet um empfangen werden.
Alle Daten die Du dort sehen kannst, kann jeder andere auch lesen.

Die möglichen Angriffsstrategien sind genauso vielfältig wie Du eine Webseite erstellen kannst. Quasi endlos.

Sinnvoll wäre es sich mit dem Thema Sicherheit intensiv zu beschäftigen. Die Annahme dass man durch ein gutes FTP Passwort die bösen Jungs aussperrt wäre blauäugig.

Was hältst Du von der Ãœberlegung. "Ich werde gehackt, wie bekomme ich meine Seite wieder an den Start".

Backup aller Dateien auf dem Server
Stündliches Backup der Datenbank
Wenn schon gehackt, dann hat man die Daten noch()

Fazit: Webmaster sind für die Datensicherheit verantwortlich. U.u. kann man für mangelhafte Sicherheitsvorkehrungen haftbar gemacht werden.
Letztes Beispiel: Offene WLan Netze

Büffeln Büffeln Büffeln




« zurück zu: Sicherheit

Das Seitenreport Forum hat aktuell 5274 Themen und 36115 Beiträge.
Insgesamt sind 48327 Mitglieder registriert.