Login
Newsletter
Werbung

Thema: Apache- und Linux-Webserver am häufigsten gecrackt

65 Kommentar(e) || Alle anzeigen ||  RSS
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von Lars am Di, 18. März 2008 um 12:54 #
... Naja, dummerweise wurden die Apacheserver auch dann noch häufiger gecrackt, wenn man die Statistik mit der Verbreitung der Systeme gewichtet. Somit ist das Argument mit der Verbreitung freier Software eher fraglich!
[
| Versenden | Drucken ]
  • 0
    Von lilili am Di, 18. März 2008 um 13:23 #
    Kann man so nicht sagen man müsste auch dazurechnen wie häufig die Server besucht werden.

    Ausserdem kann ein Betriebssystem nichts dafür wenn der Admin zu dämlich ist ein vernünftiges Passwort zu vergeben.

    [
    | Versenden | Drucken ]
    • 0
      Von Lars am Di, 18. März 2008 um 13:40 #
      Es wurde im Bericht eine Schlußfolgerung anhand der vorhandenen Daten gemacht. Ich sage lediglich daß dies so nicht in Ordnung ist. Was soll an meiner Kritik verkehrt sein? Nebenbei habe ich von Webservern geredet, nicht von Betriebssystemen.
      [
      | Versenden | Drucken ]
    0
    Von nidhoegg am Di, 18. März 2008 um 15:01 #
    > dummerweise wurden die Apacheserver auch dann noch häufiger gecrackt, wenn man die Statistik mit der Verbreitung der Systeme gewichtet.
    Das stimmt aber nur, wenn man annimmt, dass die Kompromittierungen linear von der Verbreitung abhängen, was vermutlich nicht der Fall ist.
    [
    | Versenden | Drucken ]
    • 0
      Von Lars am Di, 18. März 2008 um 15:32 #
      Ich denke, wir sind uns alle hier einig, daß die Auswertung der Ergebnisse so wie sie gemacht wurde zu keinem representativem Ergebniss führt. Was letztlich die Frage aufwirft, wozu überhaupt Gelder für solche Statistiken ausgegeben werden ...
      [
      | Versenden | Drucken ]
      • 0
        Von she am Di, 18. März 2008 um 15:44 #
        Damit wir uns diese Frage stellen können ;-)
        [
        | Versenden | Drucken ]
        0
        Von nico am Di, 18. März 2008 um 22:14 #
        damit jemand mit Sicherheitslösungen gutes Geld verdienen kann.

        Man muss eigentlich 3 Unterscheidungen ziehen.
        - gehackte Webserver (direkte Angriffe auf Apache, IIS, ...)
        - gehackte Plattformen (indirekte Angriffe auf den Webserver, durch Löscher in sonstiger Software)
        - und gehackte Webanwendungen

        dazu noch Folgeschäden, konnte von der gehackten Webanwendung in tiefere Bereiche des Systems eingedrungen werden.

        Übrigens, Autoradios sind unsicher, die meisten Unfälle passieren mit Autos bei denen ein Autoradio installiert ist.

        [
        | Versenden | Drucken ]
        0
        Von von M$ bezahlt?? am Di, 18. März 2008 um 22:14 #
        kt
        [
        | Versenden | Drucken ]
0
Von nobody am Di, 18. März 2008 um 13:01 #
Diese Statistik zeigt eigendlich, dass linux sicher ist (bzw. sein kann). Wenn 1/4 der Angriffe durch Passwortklau erreicht wurden, finde ich es nicht komisch, dass gerade Linux betroffen ist. Windows wird (evt. auch aufgrund seines Preises) eher weniger von Privatpersonen als Server benutzt. Kleine Vereine mieten sich dann einen Linux-Server, und irgendjemand wird dann als Administrator ernannt, jemand, der sich nicht zwangsläufig mit Sicherheit auskennt.
Solange ein guter und fähiger Admin das System betreut, stellt es für einen (potentiellen) Angreifer eine große Hürde dar.
Linux ist für Angreifer allerdings auch ein lohnenderes Ziel. Sobald ein Angreifer ssh-Zugriff hat, kann er damit alles machen. Bei einem Windows-Server kann er zwar einiges, aber halt nicht alles machen.#
nobody
[
| Versenden | Drucken ]
  • 0
    Von Dennis am Di, 18. März 2008 um 13:07 #
    Mit dem "lohnenden Ziel" kannst Du recht haben. Soweit ich weiß, kann man den Apache bei den meisten Distris per default nur als root starten. Vielleicht sollte man das mal ändern...
    [
    | Versenden | Drucken ]
    • 0
      Von adlerweb am Di, 18. März 2008 um 14:06 #
      Apache wird als root restartet um auf Port 80 (HTTP) einen Listener anzulegen - dafür sind üblicherweise root-rechte nötig. Danach wird in den Distros die ich kenne auf einen anderen Benutzer (www-data/apache/...) gewechselt.
      [
      | Versenden | Drucken ]
      0
      Von Verwundert am Do, 26. März 2009 um 21:26 #
      Nur dass du leider nicht die gernigste Ahnung von der Materie hast
      Oder was glaubst du machen die User/Group Optionen seit 10 Jahren?
      Schon mal ein rchtiges OS aus der Nähe gesehen?
      Der www-User wird wohl kaum einen priviligierten Port öffnen können
      Die Worker-Orozesse laufen aber nicht als root
      Wozu auch?

      User apache
      Group apache

      [
      | Versenden | Drucken ]
    0
    Von Lars am Di, 18. März 2008 um 13:07 #
    > Sobald ein Angreifer ssh-Zugriff hat,
    > kann er damit alles machen. Bei einem
    > Windows-Server kann er zwar einiges, aber
    > halt nicht alles machen.#

    Wo haste denn das her? Unter Linux müsstest Du schon einen root-Zugang bekommen, damit Du alles machen kannst. Und wenn Du unter Win einen Admin-Zugang bekommst, kannst Du dort auch alles machen. Bei beiden Systemen lassen sich die Remotezugriffe für den Admin/root aber auch einschränken, von daher sehe ich Deinen beschriebenen Unterschied nicht.

    [
    | Versenden | Drucken ]
    • 0
      Von Muss Mahl am Di, 18. März 2008 um 17:17 #
      Er meinte wohl, daß sich mit Windows nicht all das machen laesst was auch unter Linux moeglich ist. Bash-scripte oder cat auf /dev/urandom z.B.
      [
      | Versenden | Drucken ]
      0
      Von Blueguru am Mi, 19. März 2008 um 03:07 #
      Es gibt openssh für Windows, entweder Standalone oder als Bestandteil von Cygwin. Läuft supergut, entweder kommt man damit auf eine cmd.exe-Commandline oder started eine Bash unter Windows. Die meisten personal Windows-Exploits spielen als erstes einen SSH-Zugang ein, dazu sind nur wenige hundert Bytes eingeschleuster Code nötig und den gibts noch dazu fix und fertig bei den entsprechenden Seiten.
      [
      | Versenden | Drucken ]
    0
    Von Johannes am Di, 18. März 2008 um 13:15 #
    interessieren würde mich eine auflistung nach versionen. wenn man zwischen verschiedenen iis versionen unterscheidet, warum dann nicht auch zwischen verschiedenen apaches?
    die frage ist dann, wie sieht die gewichtete statistik für die neusten versionen aus.
    [
    | Versenden | Drucken ]
0
Von nonv am Di, 18. März 2008 um 13:12 #
also ich kenne keine _interessante_ seite die mit produkten aus redmond befeuert wird... abgesehen davon liegt das problem bei schwachen kennwoertern nicht am server, sondern am user.
und jeder admin kennt das problem, wenn man eine strenge password-policy einfuehrt, dann klebt das kennwort mit nem post-it zettel am monitor oder unter der tastatur :(
dabei gaeb es doch genug alternativen, z.B. GSSAPI, X509 etc...
[
| Versenden | Drucken ]
  • 0
    Von adlerweb am Di, 18. März 2008 um 14:19 #
    microsoft.com? Myspace? OK, vermutlich sind hier keine Personen aus der Zielgruppe anwesend, aber anscheinend haben diese Seiten ja doch einiges an Besuchern...
    [
    | Versenden | Drucken ]
    0
    Von GrafBobby am Di, 18. März 2008 um 14:42 #
    Lese ich häufig: derstandard.at, leider
    [
    | Versenden | Drucken ]
0
Von Max am Di, 18. März 2008 um 13:19 #
...
Klar, Apache wird häufig von Laien in Betrieb genommen.
Wie oft wird irgendwo mal eine "Homepage" gebastelt mit Lieblingshobbies, Lieblingsband usw. um dann Jahre über nicht gepflegt zu werden.
Solche Billigangebote werden aber oft administrativ von größeren Hostern oder Providern gepflegt.
Die sollten dann dafür sorgen das User nicht "admin" oder "test" als PW nehmen kann.
Der Anteil bei Webhostlist von apache gegenüber iis ist jedenfalls viel größer. Daher rühren die Zahlen.

Nur wie will man das Problem lösen? Indem Apache mehr Geld als der IIS kostet?

[
| Versenden | Drucken ]
  • 0
    Von nico am Di, 18. März 2008 um 22:20 #
    das Problem ist da in den seltensten Fällen der Hoster.

    Sondern eben der Kunde, der mal eben ein Forum oder Blog installiert, das nen Monat nutzt, liegen lässt. Und sich ein Hacker nach 3/4 Jahr oder noch später der Software annimmt, weil Bugfix ewig nicht behoben wurden.

    Einige Hoster kennen das Problem und bieten Wordpress, Drupal und ähnlichen Kram bereits vorinstalliert an und patchen selbst. Nutzer darf keine unsicheren Erweiterungen rein packen.

    [
    | Versenden | Drucken ]
    • 0
      Von Verwundert am Do, 26. März 2009 um 21:30 #
      > das Problem ist da in den seltensten Fällen der Hoster.

      Entweder hast du slebst keine Ahnung oder noch nie eine fast durchweg beschissene und veraltete Konfiguration von Massenhostern gesehen!

      Irgendwie verstehe ich nicht warum sich zu sowas immer Leute äussern müssen die noch nie ernstahft einen Webserver administiert haben und sich den Dreck der Massenhoster dann vielleicht auch noch als Vorbild nehmen

      [
      | Versenden | Drucken ]
0
Von mat am Di, 18. März 2008 um 13:40 #
Schade das in der Kurzübersicht (wohl aber über den o.g. Link) lighttp nicht auftaucht. Schließlich wird der von vielen, "großen" Seiten wie youtube verwendet und kam auf sage und schreibe 37 Hacks letztes Jahr. Und lighttpd dürfte mal eine vernünftige Alternative für die bereits genannten Hobbyhoster sein...
[
| Versenden | Drucken ]
  • 0
    Von Holzhaus am Di, 18. März 2008 um 14:38 #
    ist warscheinlich bei "Unbekannt" mit drin. Genauso wie der thttpd und die ganzen anderen HTTP-Server...
    [
    | Versenden | Drucken ]
    0
    Von lighty80 am Di, 18. März 2008 um 22:55 #
    Wenn du die aktuelle - und sicher zur Zeit am ehesten objektive, da rein automatisiert und nicht durch irgendwelche fokussierten Umfragen gewonnene - Auflistung unter netcraft anschaust, wirst du sehen, das Lighttpd einen Turbostart eingelegt hat, dort ist sie schon lange nicht mehr unter "Sonstige" sondern auf dem dritten Platz.

    Ich nutze auf meinem Server schon länger Lighty, und würde nie mehr zurückwechseln.
    Mein Server ist viel performanter seitdem - speziell bei PHP ist sie Apache geschwindigkeitstechnisch um LÄNGEN voraus - und die Konfiguration ist sehr flexibel.

    Kein Wunder nutzen Youtube und Sourceforge Lighttpd!

    [
    | Versenden | Drucken ]
0
Von leser am Di, 18. März 2008 um 13:53 #
Das tut weh, nicht wahr?

Es zeigt aber auch, daß das Administrieren eines Servers höhere Ansprüche an den Betreiber stellt, als das Absichern des heimischen PCs.

[
| Versenden | Drucken ]
0
Von Anna Naß am Di, 18. März 2008 um 13:57 #
Wenn ich mich an so manche Frage in den von mir beobachteten Foren zurückerinnere, wünsche ich mir eine {V,Root}Server-Führerscheinprüfung!

...und die Menge des Spams wundert mich da auch nimmer!

Hört doch endlich auf, den DAUs zu erzählen, sie könnten auch Linux benutzen... was dabei raus kommt, sieht man ja...

[
| Versenden | Drucken ]
  • 0
    Von adlerweb am Di, 18. März 2008 um 14:09 #
    Sie können es ja auch - sie müssens nur erst mal lernen, und da hapert dann bei den meisten, denn warum sollte man sich mit dem System beschäftigen, wenn Confixx & Co reicht?
    [
    | Versenden | Drucken ]
    0
    Von Georf am Di, 18. März 2008 um 15:48 #
    Ich finde, wenn jemand unbedingt einen eigenen Webserver aufsetzen will, dann soll er es doch machen. Spätestens nach der ersten Attacke und dem ersten Datenverlust, merkt der User ja, dass er mal doch die "Anleitung" hätte lesen sollen. Aus Fehlern lernt man, und wenn die DAUs dann irgendwann nicht mehr weiterwissen oder nicht mehr wollen, dann können sie ja immer noch den Server von jemanden administrieren lassen, der Ahnung hat.
    [
    | Versenden | Drucken ]
    • 0
      Von Anna Naß am Di, 18. März 2008 um 19:28 #
      Spätestens nach der ersten Attacke und dem ersten Datenverlust, merkt der User ja, dass er mal doch die "Anleitung" hätte lesen sollen.

      Nunja... ich seh' Solche des Öfteren in Foren nach Hilfe winseln und wenn man ihnen nicht alles auf den Tastendruck genau diktiert (ich nicht! aber es finden sich immer wieder Weltverbesserer, die es tun!), kriegen die es nicht hin...

      Die andere Sorte stellt sich gleich hin und pöbelt rum, wie Scheiße doch zB Debian sei...

      Gefressen hab ich beide Sorten!

      [
      | Versenden | Drucken ]
      • 0
        Von Baldrian am Di, 18. März 2008 um 20:28 #
        Ist aber noch die Frage, ob die Leute die mit hängen und würgen nen apache ans laufen kriegen, diesen denn überhaupt im Internet betreiben. Viele Webanwendungen oder jemand der daheim nur mal ein bisschen php ausprobieren will, kommt oft nicht drum rum. Dafür muss man dann aber kein Admin sein und sich wirklich mit Sicherheitsregeln beschäftigen. Fragen wie es denn geht, muss man aber erst recht.
        Nicht jeder ist ein DAU nur weil er mal schnelle und unkomplizierte Hilfe braucht.
        [
        | Versenden | Drucken ]
        0
        Von Trockenobst am Di, 18. März 2008 um 23:05 #
        > Gefressen hab ich beide Sorten!

        Das kann ich sehr gut nachvollziehen. *seufz*

        [
        | Versenden | Drucken ]
    0
    Von zettberlin am Di, 18. März 2008 um 20:02 #
    > Hört doch endlich auf, den DAUs zu erzählen, sie könnten auch Linux benutzen...

    Internet/Web/freie Software hat auch mit Demokratie zu tun. Wenn sie nicht jeder/jede benutzen kann, ist das eher die "Vision" von Gates aus den frühen 90ern: Internet als Kaufhaus und besseres Fernsehen, beherrscht von Industriemagnaten, die liefern, was ihnen beliebt zu ihren Bedingungen.

    Problem ist die Dokumentation und die verantwortungslose Politik der Provider, die nie und nimmer einen Kunden dazu drängen würden, sichere Passwörter zu verwenden und überflüssige Ports dicht zu machen. Es ist grotesk, was man teilweise in Schadensberichten lesen kann. Rootpasswörter wie "internet" oder "server01" kein upgrade in 6-7 Monaten etc..

    Dabei kann *jeder* und *jede* an einem Nachmittag lernen, wie man die grundlegenden Sicherheitsmaßregeln so befolgt, dass man über den Schwierigkeitsgrad von 90% aller Angriffe hinauskommt.


    p.s.: es gibt keine "DAUs" - nur verantwortungslose Fachleute, die zu bequem sind, sich mit unwissenden Nutzern zu beschäftigen und/oder unfähig, ein sinnvolles Maß an Grundwissen zu vermitteln.

    [
    | Versenden | Drucken ]
    • 0
      Von ac am Di, 18. März 2008 um 23:18 #
      > Internet/Web/freie Software hat auch mit Demokratie zu tun.

      Inhalte ja, Administration weniger.


      > Dabei kann *jeder* und *jede* an einem Nachmittag lernen, wie man die grundlegenden Sicherheitsmaßregeln so befolgt, dass man über den Schwierigkeitsgrad von 90% aller Angriffe hinauskommt.

      Nein, der Mehrheit ist es einfach zu hoch bzw. die Leute sind uninteressiert. Sicherheit ist nunmal kein Selbstzweck und die Implikation des eigenen Tuns und Unterlassens bzw. die damit einhergehende Verantwortung überblicken viele Leute nicht.


      > p.s.: es gibt keine "DAUs"

      Leider doch. Nicht nur IT betreffend.


      > nur verantwortungslose Fachleute, die zu bequem sind, sich mit unwissenden Nutzern zu beschäftigen und/oder unfähig, ein sinnvolles Maß an Grundwissen zu vermitteln.

      Die weder von den DAUs noch von jemand anderem dafür bezahlt werden, also warum sollten sie. Im Grunde sollte - zumindest bei grob fahrlässigem Verhalten - jeder dafür haftbar gemacht werden, wenn z.B. über seinen Server Botnetze gesteuert werden oder er als Open Relay fungiert. Die veränderte Kosten/Nutzen-Rechnung würde langfristig einiges bewirken.

      [
      | Versenden | Drucken ]
      • 0
        Von zettberlin am Mi, 19. März 2008 um 00:54 #
        > Nein, der Mehrheit ist es einfach zu hoch bzw. die Leute sind uninteressiert

        Da habe ich andere Erfahrungen gemacht. Wenn man Passwortsicherheit richtig vermittelt, kommt das auch gut an. Auch eine Regel wie "Schalt ab, was Du nicht unbedingt brauchst, dann passiert Dir nichts" verstehen die meisten ziemlich gut. Auch der Satz "Komfortabel, Sicher, Billig - such' Dir zwei aus." erschließt sich den meisten, wenn man es richtig erklärt.

        > Im Grunde sollte - zumindest bei grob fahrlässigem Verhalten - jeder dafür haftbar gemacht werden, wenn z.B. über seinen Server Botnetze gesteuert...

        Da ist allerdings was dran - Nutzer und Provider kommen meist zu billig davon, wenn sie sich fahrlässig haben in Pfanne hauen lassen. Besonders die Provider sollten mehr Ärger kriegen - sie haben durchaus Hebel in der Hand, mit denen sie zumindest idiotische Passwörter unterbinden könnten.
        Ich denke an einen Brief in der Art:

        "Unser Sicherheitsteam hat festgestellt, dass Ihr Server gegen illegalen Zugriff nicht ausreichend gesichert ist. Bitte vergeben Sie neue Passwörter und führen Sie eine Aktualisierung der Software durch. Nutzen Sie dabei unsere Hilfen und Prüfwerkzeuge. Sollten die Lücken in 7 Tagen noch nicht beseitigt sein, sind wir gezwungen, Ihren Server bis auf weiteres vom Netz zu nehmen."

        [
        | Versenden | Drucken ]
        • 0
          Von Erik am Mi, 19. März 2008 um 09:05 #
          > sind wir gezwungen, Ihren Server bis auf weiteres vom Netz zu nehmen.
          Mit welchem Druckmittel? Der Provider, der sich so verhält, wird nicht als Schutz sondern als Belastung wahrgenommen.


          lg
          Erik

          [
          | Versenden | Drucken ]
        0
        Von Erik am Mi, 19. März 2008 um 09:03 #
        Nein, der Mehrheit ist es einfach zu hoch bzw. die Leute sind uninteressiert. Sicherheit ist nunmal kein Selbstzweck und die Implikation des eigenen Tuns und Unterlassens bzw. die damit einhergehende Verantwortung überblicken viele Leute nicht.

        [...]

        Im Grunde sollte - zumindest bei grob fahrlässigem Verhalten - jeder dafür haftbar gemacht werden, wenn z.B. über seinen Server Botnetze gesteuert werden oder er als Open Relay fungiert.
        Siehe Deinen oben zitierten Text - grobe Fahrlässigkeit trifft man sicherlich kaum an. Dummheit/Desinteresse ist halt nicht grob fahrlässig.

        lg
        Erik

        [
        | Versenden | Drucken ]
        • 0
          Von ac am Mi, 19. März 2008 um 19:23 #
          > Dummheit/Desinteresse ist halt nicht grob fahrlässig.

          Dummheit schützt vor Strafe nicht. Das ist einer der ganz ehernen Rechtsgrundsätze.

          [
          | Versenden | Drucken ]
          • 0
            Von Udarow_Crew am So, 6. Juli 2008 um 18:28 #
            soviel scheisse wie ihr hier verbreitet ist schon enorm,ein user der schon unter windoof schwer tut wird unter linux zwangsläufig in die knie gehen. jeder muss klein anfangen und vom basis erstmal was verstehen um darauf aufbauen zukönnen.
            trolle wie ihr die leute gleich haftbar für alles und jeden machen wollen sollten sich selber an die nase fassen.
            und eins solltet ihr auch bedenken wenn nur profis das netzt nutzen sollen/dürfen (nach aussagen einiger hier) gibts eine menge firmen und programmierer gestalter die arbeitslos sind.

            vielleicht sollten einige provider nachziehen komplexe passwörter mit zuliefern was ja schon bei einigen standart ist.

            [
            | Versenden | Drucken ]
0
Von dragon-fire am Di, 18. März 2008 um 14:13 #
Daran ist aber nicht der Apache als solches Schuld....

Wir reden hier auch von der dahinterliegenden Anwedung ... missglückte PHP-Scripte und anderer Müll, der immer und immer wieder Lücken aufweist. Und als zweiter Punkt ist wohl auch entsprechend die Verbreitung schuld... Da der Apache "noch" am Meisten eingesetzt wird, wird auch am häufigsten in die Subsysteme eingedrungen...

Auch auf die Admins kommt es an und da gibt es echt grausame Systeme - was man sich da teilweise ansehen muss ist mehr als fahrlässig!

Also ich finde die Statistik wurde entweder von Leuten erstellt, die keine andere Idee hatten sich bekannt zu machen oder dient dazu den Apache Web-Server schlecht zu machen - wohl aber nur bei denen, die davon keinen Schimmer haben... leider scheinbar sehr viele :(

Hatte noch nie einen Einbruch, der auf den Apache zurückzuführen war... und wenn eingedrungen wurde, hat der Apache glücklicherweise immer schlimmeres verhindert. Auf die Subsysteme ist kein Verlass! Da sollte es aber auch keine Statistik geben ala PHP vs. Java vs. Python - wäre gleicher Müll - es liegt oft einfach nur an den Programmierern...

[
| Versenden | Drucken ]
0
Von DAU-Server am Di, 18. März 2008 um 15:31 #
Es müsste eine DAU-Serverversion geben.
Ein Programm entwickelt für Anwedner, die von Serversicherheit kaum Ahnung haben.
[
| Versenden | Drucken ]
0
Von root_tux_linux am Di, 18. März 2008 um 16:15 #
Die meisten Leute gehen ohne jegliche Linux kenntnisse zu 1&1, OVH usw usf. holen sich einen Rootserver mit Linux weil dieser ja günstiger ist aber haben 0 Ahnung was sie überhaupt tun!

Oh OpenSuse mit Confix/Plesk/Webmin nehm ich.

Die ISP verschicken dann Mails mit Zugangsdaten und dort ist das rootpwd meist zwischen 6 und 8 Zeichen lang und viel zu schwach. Doch der Dau denkt sich: "lassen wir mal wird schon gut sein".

Dann wird in Confix/Plesk/Webmin einfach rumgeklickt bis es geht und ein Passwort für Mysql, vsftpd/proftpd,pureftpd weiss der Geiger gewählt das der Name der Freundin, Mutter, Vater, Haustier oder einfach nur Geburtsdatum oder Farbe oder sonst was ist.

Die Dienste werden 0 Abgesichert, Iptables gegen Bruteforce oder fail2ban wird auch nicht eingesetzt.
Von Bugs und Update haben die Leute auch nie was gehört also dümpelt der Server vor sich hin.
Oder sie nehmen Scripte die sie im Web finden die u.a. 6 Jahre alt sind und nicht mehr gepflegt werden usw usf.

Alles schon erlebt.

Da muss man sich nicht wundern wieso es so ist.

[
| Versenden | Drucken ]
  • 0
    Von anon2 am Di, 18. März 2008 um 21:57 #
    Alle von Dir angesprochenen Dinge sorgen nicht dafür, dass die Sicherheit des Systems drastische leidet:

    Ein Webserver, der mit Confixx/Plesk/Webmin eingerichtet wurde, ist mindestens ebenso sicher wie ein manuell eingerichteter Webserver. Denn bei der manuellen Einrichtung können sich noch (Tipp-)Fehler einschleichen, während eine automisch erstellte Konfigurationsdatei keine Sicherheitslöcher in die Applikations reißen sollte (und wenn doch, dann ist es ein Bug in Confixx/Webmin).

    Kein (mir bekannter) Hoster verschickt Root-Passwörter im Klartext per Mail. Aber ein Root-Passwort mit einer Länge von 6 bis 8 Zeichen ist dicke ausreichend. Viel wichtiger ist, dass das Wort in keinem Lexikon steht: das 4-byte Passwort "V§e5" ist sicherer als das 16-byte "passwordpassword"!

    Nach der Standardinstallation einer aktuellen Linux-Distribution sollte keine Dienste abgesichert werden müssen (auch wenn ich nicht weiß, was genau Du jetzt mit "absichern" meinst).

    Gegen Brute-Force-Attacken braucht man kein fail2ban. Das braucht man nur, damit die Logdateien nicht überlaufen, wenn man ein einigermaßen sicheres Kennwort nutzt. Angenommen, ein SSH-Connect mit fehlerhaftem Kennwort dauert 1 sec. Weiterhin nehmen wir an, dass ich weiß, dass Du Dein Geburtsdatum als Kennwort nutzt und zwischen 20 und 30 Jahre alt bist. Wenn ich alle möglichen Variationen durchgehe (01.01.1982; 1 Jan 1982, usw.) brauche ich mehrere Monate, bis ich auf Deinem Rechner bin.

    Wirklich wichtig ist nur, das man keine (alte) Software einsetzt, die bekannte (und ausnutzbare) Lücken aufweist. Denn sobald z.B. ein exploitable PHP-Skript bei google zu finden ist, dauert es keine Minuten mehr, bis ein Webserver geknackt ist.

    Also: nutzt ein Kennwort mit Zahlen und Sonderzeichen (die Länge ist mehr oder weniger egal) und sorgt für regelmäßige Updates auf dem Rechner (am besten täglich informieren). Dann kann auch mit Webmin/Plesk nichts schlimmes passieren.

    [
    | Versenden | Drucken ]
    • 0
      Von dragon-fire am Mi, 19. März 2008 um 12:45 #
      DANKE!

      Jetzt weiß ich wie die Statistik zustande kommt *gg*

      Deine "Begründungen" zeigen mir, dass du dich von irgendwelchen Foren oder anderen 0815-Informationen ernährst. ;) Nicht persönlich nehmen, aber beschäftige dich bitte ein wenig mit der Materie und du wirst merken, dass 3.652 (das ist die namentliche Anzahl deines Beispiels) Passwörter keine Stunde brauchen um durchgetestet zu werden.

      Fail2Ban ist nicht dazu da, deine Logs kleiner zu halten (hierzu könnte man auch einfach die Logs filtern lassen bzw. Logging abschalten) sondern wohl eher deinen Server vor zu hoher Last und unnötigen Traffic zu bewahren. Denn eine Brute-Force-Attack kann einen Server ziemlich belasten...

      Auch die Begründung, dass ein automatisch konfiguriertes System gleichauf mit einem manuell konfiguriertem System liegt ist wahrlich nicht schön :)

      Tippfehler hatte ich noch nie im produktiv-System, da dann die Dienste ein Syntaxerror schmeißen ;)

      Auch alte Systeme können sicher sein - insofern man den Apache und die Subsysteme streng genug konfiguriert bzw. die Anforderungen des Portals dies zulassen.

      Und zum Schluss:
      » Nach der Standardinstallation einer aktuellen Linux-Distribution sollte keine Dienste abgesichert werden müssen (auch wenn ich nicht weiß, was genau Du jetzt mit "absichern" meinst).

      Vertrauen ist gut - Kontrolle ist besser...

      Du solltest deine Systeme öfters kontrolliere, statt auf den lieben Cracker zu hoffen, der dein immer aktuelles und total sicheres System in Ruhe lässt.

      [
      | Versenden | Drucken ]
      • 0
        Von anon2 am Do, 20. März 2008 um 00:53 #
        Deine "Begründungen" zeigen mir, dass du dich von irgendwelchen Foren oder anderen 0815-Informationen ernährst.

        Nix da! Alles persönliche Erfahrungen!

        Nicht persönlich nehmen, aber beschäftige dich bitte ein wenig mit der Materie

        Ich bin freiberuflich seit knapp 10 Jahren für die Administration von Linux und Unix zuständig. Meine Brötchen verdiene ich mit 80% durch die Pflege von firewall und IDS-Systemen. :-)

        Fail2ban

        *Ich* setze fail2ban ein, weil mich die Loggins stören. Unnötiger Traffic entsteht dadurch kaum. Eine höhere Last lass ich hingegen noch gelten. Wenn man fail2ban einsetzt, weil ich Angst habe, dass mein Passwort geknackt wurde, läuft etwas grundlegendes verkehrt.

        Ich weiß zwar nicht, wie Du auf die 3.652 kommst, aber ich biete Dir folgendes an:
        ich setze das root-Passwort eines Servers auf mein Geburtstagdatum und Du bekommst 1 Tag (24h) Zeit, Dich da einzuloggen. Und da ich großzügig bin, verrrate ich Dir noch, dass ich zwischen 30 und 40 Jahre alt bin :-)
        Wenn Du es schaffst, Dich auf meinem Rechner einzuloggen, lad ich Dich auf ein Wochenende ein. Bei Interesse Mail an obige Adresse.

        [
        | Versenden | Drucken ]
        • 0
          Von anon2 am Do, 20. März 2008 um 01:22 #
          Ich überlege die ganze Zeit, wie Du auf 3.652 kommst?

          Wenn man vereinfacht davon ausgeht, dass ein typisches Datum 10 Zahlen hat mit 8 Möglichkeiten und den Punkten zur Abgrenzung, also z.B. 20.03.2008, dann gibt es 10^8 Möglichkeiten. Darin wären natürlich auch Geburtstage von menschen, die garantiert nicht wissen, was Linux ist (z.B. aus dem Jahr 1500). Bei 1 Login/sec braucht man im worst-case 3,17 Jahre.

          Durch eine alternierende Schreibweise wird man das ganze sicherlich erhöhen können. Z.B. kann man den 20.03.2008 auch als "20 März 2008" schreiben. Oder "20. März 2008" oder "20. Mär 2008" oder "20.03.08" oder "March, 20th 2008" oder (...).

          [
          | Versenden | Drucken ]
0
Von TröRö am Di, 18. März 2008 um 20:58 #
Interessant wäre es jetzt z.B., wie die Cracker an die Passwörter gekommen sind, vielleicht weil sich die "Hobbyadmins" auf ihren Windowskisten Trojaner eingefangen haben.

Im Endeffekt weis man hier gar nicht wie die Statistik aussieht bezüglich mitgelieferter Windows/Linuxssoftware.

Die Statistik ist sowas für die Tonne und wahrscheinlich hat das jemand ordentlich Kohle bekommen die Statistik so in den Raum zu stellen ohne hier die Zahlen zu kommentieren und die Aussagekraft der Zahlen zu relativieren:-)

[
| Versenden | Drucken ]
0
Von Marillion am Di, 18. März 2008 um 21:18 #
Die Apache Foundation weist in einer E-Mail an heise Security darauf hin, dass ihren Erkenntnissen zufolge in den vergangenen Jahren keine Softwarefehler im Apache-Webserver dazu ausgenutzt worden wären, um in Webserver einzudringen.
[
| Versenden | Drucken ]
0
Von osorno am Di, 18. März 2008 um 21:51 #
Hat jemand eine Statistik über "echte" Server hacks, also ohne gültige Userid/Passwort, aufgeschlüsselt nach Servertyp und vielleicht noch Methode ?

Einen Server mit gültiger Userid/PW umzukonfigurieren ist kein "Hack" sondern "works as designed".

Schliesslich soll der Admin das ja auch machen können und wer das Passwort hat ist dann nun mal Admin, auch wenn es die falsche Person sein sollte...

[
| Versenden | Drucken ]
0
Von bikini-zone-h am Di, 18. März 2008 um 22:47 #
Hierzu noch zwei Anmerkungen aus dem kompetenterem Konkurrenzportal heise:

"Die Apache Foundation weist in einer E-Mail an heise Security darauf hin, dass ihren Erkenntnissen zufolge in den vergangenen Jahren keine Softwarefehler im Apache-Webserver dazu ausgenutzt worden wären, um in Webserver einzudringen."

Fazit: Hier geht es vor allem um unsichere PHP-Applikationen und ähnliches. Das lässt sich alles einfach umgehen.

Zum anderen finden sich auf Microsoft IIS-Servern selten Seiten, bei denen es f+ür Crackern interessant wäre, sie zu knacken - Seitenbetreiber mit einem Mindestmaß an Anspruch an ihren Server, greifen höchst selten auf den IIS-Server zurück, es sei denn, irgendwelche Marketingfuzzis glauben weniger ihren Administratoren denn der bunten Werbung "Facts" die aber dieses Wort pervertiert.

Die "Microsoft Certified Klickibunti" - Admins (nennen wir sie mal so) werden mir sicher widersprechen, aber ich wollte das nur mal anmerken.

Aber natürlich ist auch Linux allgemein nicht vor Sicherheitslücken gefeit, dies lässt sich aber durch ein technisch durchdachtes Setup, sichere Passwörter, eine debianbasierte Distribution und Verbot für diverse PHP-Applikationen auf ein Minimum herunterschrauben.

[
| Versenden | Drucken ]
mehr FTP
0
Von anonymous am Mi, 19. März 2008 um 10:26 #
Ich habe ein sehr sicheres Passwort. Aber was nützt mir das, wenn ich Seiten bei meinem Hoster nur per FTP hochladen kann? Bei FTP werden Passwörter unverschlüsselt übertragen.
(Bisher gab es noch keine Probleme, aber wahrscheinlich nur, weil meine Seiten zu unwichtig sind.)
[
| Versenden | Drucken ]
  • 0
    Von fuffy am Mi, 19. März 2008 um 19:30 #
    Bei FTP werden Passwörter unverschlüsselt übertragen.
    Das ist nicht ganz richtig. Es gibt auch TLS-Erweiterungen für diverse FTP-Server. Damit lassen sich sowohl Zugangsdaten als auch die eigentlichen Daten verschlüsselt übertragen. Nur muss dein Hoster diese natürlich einsetzen.
    [
    | Versenden | Drucken ]
0
Von theo heise am Mi, 19. März 2008 um 14:47 #
bei heise wird erwähnt [Zitat]:

Update:

Den aktuellen Zahlen für den Februar 2008 von Netcraft zufolge hält Apache einen Marktanteil von knapp 51 Prozent (80.225.152 Webseiten), während Microsofts IIS knapp 36 Prozent aller Webseiten ausliefert (56.259.272 Webseiten).

2. Update:

Die Apache Foundation weist in einer E-Mail an heise Security darauf hin, dass ihren Erkenntnissen zufolge in den vergangenen Jahren keine Softwarefehler im Apache-Webserver dazu ausgenutzt worden wären, um in Webserver einzudringen.

[
| Versenden | Drucken ]
0
Von DanielP am Mi, 19. März 2008 um 17:34 #
schade dass apache nicht wie IIS in Versionen (1.3, 2.0, 2.2) aufgeschlüsselt ist. Was ist das für ne Statistik !?
[
| Versenden | Drucken ]
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung