Offizielle Homepage über Xampp -->> Sicher vor Hackern?!?

Irgendwelche Probleme mit XAMPP für Windows? Dann ist hier genau der richtige Ort um nachzufragen.

Offizielle Homepage über Xampp -->> Sicher vor Hackern?!?

Postby Umbrella » 10. May 2010 22:10

Moin ;)

joa, bin zwar neu hier aber ich fall mal einfach mit der "Tür ins Haus" da mein Anliegen nicht nur wichtig und dringend ist sondern auch Profis erfordert und ich bin mir sicher diese hier zu finden :D

Wir haben einen Server gemietet bei Server4You, isn Win-Server...und für unser Forum ist Xampp installiert mit Apache und mysql - FileZilla ist derzeit deaktiviert. Jetzt ist die Sache so dass es jemandem gelungen ist auf unseren Server/unsere DB's zu zu greifen und das finden wir natürlich nicht wirklich lustig.
Er kann sämtliche Daten in den DB's verändern hat aber zum Glück bisher keinen weiteren Schaden angerichtet....

Meine Frage wäre jetzt wie man diesen Server so sicher macht dass da keiner mehr drauf kommt...

Root-Passwort wurde schon geändert, genauso wie das Passwort für mysql bzw. phpmyadmin. Das Vote-System haben wir schon abgestellt weil wir da unsere Lücke vermuteten. Uns fällt so leider nix mehr ein da wir leider keine Profis sind auf diesem Gebiet...

Was mir auch noch aufgefallen ist: JEDESMAL wenn der Zugriff auf unsere DB's stattgefunden hat war derjenige auch mit 2 Accounts im Forum online...
IP-Bann bzw. IP-Rangeban bringt nix da derjenige übern Proxy auf uns zugreift und wir nicht die richtige IP-Adresse wissen dementsprechend zumal mehrere User von uns in der gleichen Stadt wohnen.

Wäre super dupa mega toll wenn uns da geholfen werden könnte...

Danke schon mal im voraus.

Liebe Grüße
Umbrella
Umbrella
 
Posts: 10
Joined: 10. May 2010 21:53

Re: Offizielle Homepage über Xampp -->> Sicher vor Hackern?!?

Postby H0MER » 11. May 2010 22:55

Wenn der User über euer Forensystem auf die DB zugreift, könnte es ja sein, dass dieser User eine Lücke im Forensystem ausnutzt.

Vielleicht solltet ihr mal gucken, ob es nicht eine neuere Version eures Forensystems gibt.


mfg
H0MER
H0MER
 
Posts: 53
Joined: 11. June 2003 17:30

Re: Offizielle Homepage über Xampp -->> Sicher vor Hackern?!?

Postby Umbrella » 12. May 2010 10:46

Huhu HOMER,

erstmal danke dir für deine Idee/Anregung, ich werde das mal mit unserem Admin besprechen aber ich vermute fast dass wir die neueste Version haben ^^ weiß aber nicht genau....

Liebe Grüße
Umbrella
Umbrella
 
Posts: 10
Joined: 10. May 2010 21:53

Re: Offizielle Homepage über Xampp -->> Sicher vor Hackern?!?

Postby Pitze » 12. May 2010 13:51

Stellen sich sofort ein paar fragen wie ist der Webserver gesichert,wie ist PHP gesichert, wie ist der DB-Server?
Lezterer sollte unter keinen umständen mit root im Netz sein auch sollte der Port nicht im Netz offen sein.
Der grösste Vertrauensbruch ist der Blitzableiter auf der Kirchturmspitze
User avatar
Pitze
 
Posts: 210
Joined: 20. November 2003 21:38
Location: Huskvarna-Schweden
Operating System: Windows Vista

Re: Offizielle Homepage über Xampp -->> Sicher vor Hackern?!?

Postby Umbrella » 12. May 2010 14:25

Pitze wrote:Stellen sich sofort ein paar fragen wie ist der Webserver gesichert,wie ist PHP gesichert, wie ist der DB-Server?
Lezterer sollte unter keinen umständen mit root im Netz sein auch sollte der Port nicht im Netz offen sein.


Inwiefern gesichert? Meinst du jetzt per installierter Software/Tools/Plugins etc.? ^^
DB-Server.....da denk ich als erstes an die Datenbanken und die sind mit aufm root drauf....
Und was bedeutet den Port nicht offen im Netz zu haben?

Tut mir leid wenn ich so viele Fragen stelle aber ich habe so gut wie gar keine Ahnung von sowas und versuche gerade dazu zu lernen...
Bei google wird man ja überhäuft mit sowas und jeder benutzt was anderes oder macht es auf eine andere art und weise und im endeffekt weiß man gar nicht was man nun machen soll? Oo

Liebe Grüße
Umbrella
Umbrella
 
Posts: 10
Joined: 10. May 2010 21:53

Re: Offizielle Homepage über Xampp -->> Sicher vor Hackern?!?

Postby Umbrella » 12. May 2010 19:43

H0MER wrote:Wenn der User über euer Forensystem auf die DB zugreift, könnte es ja sein, dass dieser User eine Lücke im Forensystem ausnutzt.

Vielleicht solltet ihr mal gucken, ob es nicht eine neuere Version eures Forensystems gibt.


mfg
H0MER



Also...ich habe mit unserem Admin gesprochen und er hat mir gesagt dass wir die neueste Version von dem Dingen haben...

LG Umbrella
Umbrella
 
Posts: 10
Joined: 10. May 2010 21:53

Re: Offizielle Homepage über Xampp -->> Sicher vor Hackern?!?

Postby Pitze » 12. May 2010 22:10

Inwiefern gesichert?

Wie auf der Seite von Apachefriends zu lesen ist sind die Komponenten in Xampp für eine Entwiklungsumgebung Konfiguriert das heist sehr offen und allgemein zugänglich.
Für den Apache heist das das von den Modulen bis zur letzten config-datei die Konfiguration internettauglich angepasst werden muss.
Die Module "mod_echo, mod_info, mod_status, mod_example" haben auf einem Produktiven System nichts zu suchen weg damit.
Es wird nur das Aktiviert was unbedingt benötigt wird. Die Options Direktive im Directory-Kontainer muss angepasst werden so sollte wenn möglich auf FollowSymLink vezichtet werden und der Anweisung Indexes sollte ein minus vorgestellt werden z.B.so "Options -Indexes" damit wird ein auflisten des Webverzeichnisses verhindert.Gute Hacker können so nämlich an Zugangsdaten gelangen. Eventuell wäre in Erwägung zu ziehen Mod-Security zu installieren. Ist zwar leicht in gang zu bekommen aber aufwendig und schwer zu konfigurieren
Bei PHP muss die php.ini überarbetet werden.
Mysql, der DB-Server muss nicht im Internet sichtbar sein, das heisst der Port bleibt dicht die Verbindungen laufen alle LOCAL ab. Der User Root ist für Adminzwecke nicht um ihn für irgendwelche Foren zu missbrauchen. Für euch heisst das, der User root und pma bekommen ein Password mindestens 8 zeichen niemals logische Wörter,Namen oder ähnliches dafür verwenden. Dann für euren Betrieb einen neuen User mit begrenzten Rechten anlegen.
Das mal so als kleiner Abriss was da auf euch zu kommt wenn du jetzt meinst mit einer einzelinstallation Apache-MySql-PHP kommst du sicherer weg muss ich dich leider enttäuschen dem ist nicht so. Du siehst so einfach ist das Thema Sicherheit nicht. Wie die jetzt schluss endlich bei euch rein sind kann man nur drüber Spekulieren es gibt keine aussagekräftige Auswertung der Log-Datei wie sie es geschaft haben.
Hier mal ein überblick http://zimmsan.mine.nu/sicherheit.html was alles gemacht werden sollte leider komme ich aus Zeitmangel momentan nicht dazu es zu erweitern bzw zu überarbeiten.
Der grösste Vertrauensbruch ist der Blitzableiter auf der Kirchturmspitze
User avatar
Pitze
 
Posts: 210
Joined: 20. November 2003 21:38
Location: Huskvarna-Schweden
Operating System: Windows Vista

Re: Offizielle Homepage über Xampp -->> Sicher vor Hackern?!?

Postby Umbrella » 13. May 2010 01:19

Okay, danke danke danke danke danke^^
Das wird uns SEHR weiterhelfen :)

Ich bedanke mich erstmal für eure Mühe und melde mich wieder sobald wir alles veranlasst haben ^^


LG
Umbrella


/Edit: Okay,ich merk wieder mal wie groß der Unterschied zwischen Theorie und Praxis ist *gg*
Ich habe mir jetzt mal auch Xampp auf meinem Rechner installiert und möchte jetzt gerne unsere Gildenhomepage darüber laufen lassen.
Jetzt versuche ich natürlich mein Xampp nach deinen tipps zu sichern ;)

Zu den Modulen:
Wo sind die? Sind das die in der httpd.conf? ^^
Konnte nirgends was finden...

Danke euch :)
Umbrella
 
Posts: 10
Joined: 10. May 2010 21:53


Return to XAMPP für Windows

Who is online

Users browsing this forum: No registered users and 49 guests