Security XAMPP-Installation

Was sollte alles noch in XAMPP rein? Was kommt definitiv bald? Was kommt so bald wie möglich, dauert nur noch etwas? Was kommt wahrscheinlich nicht rein?

Security XAMPP-Installation

Postby Kagome » 15. March 2007 20:27

So...
nach einer Installation gibt es diverse Sicherheitssachen auf die man hingewiesen wird.
Passwort für den SQLServer , bla bla bla ...
was meines erachtens aber ganz dezent fehlt ist:

Verzeichnissschutz für das verzeichniss phpMyAdmin

Folgendes lustiges Problem hatte ich heute:
Server rennt mit einer CPULast von 100% sobald der Apache an war ...
als ich dann die apache logs überprüfte wurde mir auch klar warum:

141.57.166.234 - - [15/Mar/2007:19:25:41 +0100] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=ZyPE HTTP/1.1" 404 1154

das ganze etwa 100000trillionen mal im Log.

Narf mir fällt grade ein, dass es auch andere Nutzer geben könnte, die Xampp nicht alleien benutzen >_>
Müssten die das Passwort für den Verzeichnissschutz wissen ..
maybe gibt es die Möglichkeit der Bildchenabfrage im interface ?

narf .. ich bin verwirrt :(
Kagome
 
Posts: 27
Joined: 15. March 2007 20:12
Operating System: Win 2003 / XP / 7

Postby martinpre » 16. March 2007 15:59

ähm bei einer htaccess datei kann man genau so gut die passwörter durch probieren ...
martinpre
 
Posts: 405
Joined: 22. May 2006 16:14
Location: Nähe Tulln / Österreich

Postby Kagome » 16. March 2007 19:15

hm joar ..
aber:
falscheingaben bei der htaccsess verursachen keine 100% CPU-Last bzw sind die meisten bots zu dumm das zu check0rn
Kagome
 
Posts: 27
Joined: 15. March 2007 20:12
Operating System: Win 2003 / XP / 7

Postby Wiedmann » 16. March 2007 19:54

bzw sind die meisten bots zu dumm das zu check0rn

Was bedeutet die Buchstabenkombination "check0rn"?
Wiedmann
AF Moderator
 
Posts: 17102
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby martinpre » 16. March 2007 20:02

du wirst trotzdem extrem viele anfragen haben und dadurch auch wieder 100% Last, vielleicht solltest du per firewall die ips der bösen bots sperren oder in einer htaccess nur zugriff von bestimmten ips erlauben

passwörter findet man immer durch ausprobieren raus, deshalb solltest du eben in erwägung ziehen andere sicherheitsmaßnahmen zu verwenden.

außerdem könntest du den order für den pma ändern, dann bekommt der bot nur einen 404er
martinpre
 
Posts: 405
Joined: 22. May 2006 16:14
Location: Nähe Tulln / Österreich

Postby Kagome » 17. March 2007 14:32

Wiedmann wrote:
bzw sind die meisten bots zu dumm das zu check0rn

Was bedeutet die Buchstabenkombination "check0rn"?


checken = überprüfen / mitbekommen

du wirst trotzdem extrem viele anfragen haben und dadurch auch wieder 100% Last, vielleicht solltest du per firewall die ips der bösen bots sperren oder in einer htaccess nur zugriff von bestimmten ips erlauben

passwörter findet man immer durch ausprobieren raus, deshalb solltest du eben in erwägung ziehen andere sicherheitsmaßnahmen zu verwenden.

außerdem könntest du den order für den pma ändern, dann bekommt der bot nur einen 404er


Das Problem ist, dass das nicht mal 'echte' IP's sind.
Wenn man versucht eine IP nach dem hostnamen aufzulösen, lassen die sich nicht auflösen.
Zumal ich dann die IP's auch vorher wissen müsste - Nicht jeder schaut täglich in die Logfile zum überprüfen was da mit dem Server vorgefallen ist.
Kagome
 
Posts: 27
Joined: 15. March 2007 20:12
Operating System: Win 2003 / XP / 7

Postby Wiedmann » 17. March 2007 15:01

checken = überprüfen / mitbekommen

Also "checken" ist mir schon ein Begriff. Aber "check0rn" nicht.
Und:
Code: Select all
<?php var_dump('checken' == 'check0rn'); ?>

sagt eindeutig, dass es sich da um verschiedene "Wörter" handelt...

Und jetzt zu deinen Logs:
141.57.166.234 - - [15/Mar/2007:19:25:41 +0100] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=ZyPE HTTP/1.1" 404 1154

Hier versucht ein Client eine Ressource vom Server abzurufen, die es nicht gibt. Dagegen kannst du auch nichts mit einem "Verzeichnissschutz für das verzeichniss phpMyAdmin" machen.

Das Problem ist, dass das nicht mal 'echte' IP's sind.
Wenn man versucht eine IP nach dem hostnamen aufzulösen, lassen die sich nicht auflösen.

Das Internet / das Protokoll TCP/IP basiert primär auf IP-Adressen. Jede Abfrage kommt also zwangsläufig von einer gültigen (echten) IP-Adresse. (Und wenn der angreifer auch eine Antwort erwartet, dann ist das auch seine eigene). Ob ein Recher mit seiner IP auch in einem DNS-Server eingetragen ist, ist hier völlig unerheblich.
Wiedmann
AF Moderator
 
Posts: 17102
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby KingCrunch » 17. March 2007 16:44

BruteForce ist eine gängige Methode, natürlich wissen das auch die Leute, die Bots schreiben ;)

Allerdings seh ich in dem Log noch
141.57.166.234 - - [15/Mar/2007:19:25:41 +0100] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=ZyPE HTTP/1.1" 404 1154
Insofern kannstes schützen, wie du willst, entweder liegt das Problem wo anders, oder aber du musst den Zugriff schon vor dem Apachen schützen (firewall, Router, ...).

@offtopic: "check0rn" ist eine Abart vom 1337 (Leed), wobei einfach nur bei englischen Wörtern, die eingedeutscht auf "en", diese durch "0rn" (gesprochen "orn") ersetzt werden. Check0rn ("checken"), Hax0rn ("hacken"), ...
Nicht jeder Fehler ist ein Bug ...
KingCrunch
 
Posts: 1724
Joined: 26. November 2005 19:25


Return to XAMPP-Wunschzettel

Who is online

Users browsing this forum: No registered users and 5 guests