XAMPP ungesichert? Benötige Hilfe

Irgendwelche Probleme mit XAMPP für Mac OS X? Dann ist hier genau der richtige Ort um nachzufragen.

XAMPP ungesichert? Benötige Hilfe

Postby hainer4236 » 21. January 2022 20:04

Hallo,

ich bin neu hier und benötige Hilfe bzw. einen Rat.

Ich habe für meine Ausbildung XAMPP installiert, um PHP zu lernen. Leider habe ich erst sehr spät die Sicherheitsfunktionen (über das Terminal - security) abgefragt und da wurde angegeben, dass der MySQL Server von außen zu erreichen war! Uns wurde gesagt, dass XAMPP ja eigentlich so eingestellt ist, dass MySQL nur vom localhost aus anwählbar ist. Wie kann das also sein. - In dem Zusammenhang wurde mir auch klar, dass ich das root PW zu spät gesetzt hatte, bzw es manchmal wieder gelöscht hatte, da wir die php Scripte untereinander teilen sollten. - Ich habe XAMPP immer nach meinen Übungsaufgaben ausgeschaltet und peinlichst darauf geachtet, dass er nicht weiterläuft. Ist der MySQL Server auch erreichbar, wenn er gar nicht eingeschaltet ist?

Nun habe ich Angst, dass ich mehrere Wochen angreifbar war. Ist das realistisch oder in einem geschützten Netzwerk hinter dem Router eigentlich unwahrscheinlich. Folgende Beobachtung habe ich noch gemacht:

1. Die Config.ini.php konnte ich nicht mehr öffnen. Das Schreib& Leserrecht hatte „Daemon“.
2.meine angelegte ÜbungsdatenDatenbank (phpmyadmin) konnte ich über den Finder nicht mehr öffnen, da ich „nicht die entsprechenden Rechte“ besitze.
3. in meiner Firewall stand MySQL eingehende Verbindungen erlauben. - das hatte ich glaube ich gar nicht aktivieren müssen?

Was kann nun passiert sein? Falls jemand Zugriff hatte, kann er dann nur auf die Übungsdatenbank zugreifen, oder sind dann durch das fehlende root PW noch andere Einstellungen vorgenommen wurden?

Ich habe jetzt XAMPP erstmal deinstalliert, dabei fiel auf, dass Dateien zurückblieben (auch die Übungsdatenbank) - im Ordner „var“. Diesen musste ich manuell entfernen.

Ich bin jetzt sehr verunsichert und habe womöglich einen Fehler gemacht.

Was sollte ich nun tun?
hainer4236
 
Posts: 1
Joined: 21. January 2022 19:21
XAMPP version: 7.2
Operating System: Mac OS 12.1

Re: XAMPP ungesichert? Benötige Hilfe

Postby Altrea » 22. January 2022 09:04

Hi,

hainer4236 wrote:da wurde angegeben, dass der MySQL Server von außen zu erreichen war!

Das muss man etwas relativieren. Von Außen erreichbar bedeutet, der MySQL/MariaDB Server lauscht auf einen Port des Netzwerkinterfaces, der auch von außerhalb des eigenen Rechners (Bsp: im eigenen Heimnetzwerk, VLAN, Intranetbereich) ansprechbar wäre. Man kann MySQL/MariaDB aber auch so einstellen, dass der Port auf dem Reverse Loopback 127.0.0.1 oder ::1 lauscht.
Es gibt darüber hinaus aber auch noch Sicherheitseinrichtungen, die den Zugriff von außen trotzdem unterbinden können. Das kann die Systemeigene Firewall oder der Router sein, der die Anfragen garnicht erst durchlässt.

hainer4236 wrote:Uns wurde gesagt, dass XAMPP ja eigentlich so eingestellt ist, dass MySQL nur vom localhost aus anwählbar ist. Wie kann das also sein.

Teile von XAMPP sind nur über den Loopback (der sich hinter localhost verbirgt) erreichbar, so zum Beispiel das Administrationstool phpMyAdmin. Das sagt aber nichts darüber aus, ob MySQL/MariaDB potentiell von außen erreichbar ist oder nicht. Es gibt meist mehrere Wege ein System erreichbar zu machen. Das muss man in der Gesamtheit betrachten.

hainer4236 wrote:- In dem Zusammenhang wurde mir auch klar, dass ich das root PW zu spät gesetzt hatte, bzw es manchmal wieder gelöscht hatte, da wir die php Scripte untereinander teilen sollten

Im Idealfall hat jede Anwendung einen eigenen Datenbankbenutzer mit nur den Rechten, die die Anwendung benötigt. Jeder Benutzer sollte ein eigenes sicheres Passwort haben. Und der root Benutzer sollte nur für Elementare Administratoraufgaben verwendet werden (Bsp: das erstellen von Benutzern oder Datenbanken). Aber da XAMPP eine Anfängerfreundliche Testumgebung ist, wird hier absichtlich auf Sicherheit zu Gunsten der Zugänglichkeit verzichtet.

hainer4236 wrote:. - Ich habe XAMPP immer nach meinen Übungsaufgaben ausgeschaltet und peinlichst darauf geachtet, dass er nicht weiterläuft. Ist der MySQL Server auch erreichbar, wenn er gar nicht eingeschaltet ist?

Nein. Anfragen kann der Server nur entgegennehmen und verarbeiten, wenn er gestartet ist, denn erst dann steht der Port zur Verfügung über den die Anfragen überhaupt erst zur Anwendung gelangen können.

hainer4236 wrote:Nun habe ich Angst, dass ich mehrere Wochen angreifbar war. Ist das realistisch oder in einem geschützten Netzwerk hinter dem Router eigentlich unwahrscheinlich.

Unwahrscheinlich, solange du keine Portweiterleitung im Router vorgenommen hast, ist der Server höchstens von den Teilnehmern im selben Netzwerk erreichbar.

Folgende Beobachtung habe ich noch gemacht:

[...]
hainer4236 wrote:3. in meiner Firewall stand MySQL eingehende Verbindungen erlauben. - das hatte ich glaube ich gar nicht aktivieren müssen?

Das muss man nur in den Fällen vornehmen, wenn du auch von anderen Rechnern (Beispielsweise im eigenen Heimnetzwerk) auch auf MySQL/MariaDB zugreifen können möchte.

hainer4236 wrote:Was kann nun passiert sein? Falls jemand Zugriff hatte, kann er dann nur auf die Übungsdatenbank zugreifen, oder sind dann durch das fehlende root PW noch andere Einstellungen vorgenommen wurden?

Mit dem MySQL/MariaDB root Zugang kann man auch administrative Aufgaben ausführen. Das geht also über die Übungsdatenbank hinaus, beschränkt sich in erster Linie aber auf den Kontext des Datenbankservers.

hainer4236 wrote:Was sollte ich nun tun?

Nicht in Panik geraten. Sehr sehr wahrscheinlich ist rein garnichts passiert.
We don't provide any support via personal channels like PM, email, Skype, TeamViewer!

It's like porn for programmers 8)
User avatar
Altrea
AF Moderator
 
Posts: 11926
Joined: 17. August 2009 13:05
XAMPP version: several
Operating System: Windows 11 Pro x64

Re: XAMPP ungesichert? Benötige Hilfe

Postby Nobbie » 21. February 2022 10:28

hainer4236 wrote:Was sollte ich nun tun?


Die Platte formatieren und sicherheitshalber Selbstmord. Oder?!
Nobbie
 
Posts: 13170
Joined: 09. March 2008 13:04


Return to XAMPP für macOS

Who is online

Users browsing this forum: No registered users and 12 guests