Sicherheit von Datenbanken
| Verfasst am: 12. 08. 2010 [09:49] | |||
havanesertreff Dabei seit: 09.06.2010  Themenersteller 136 Beiträge | Beitrag hilfreich? | ||
| Hallo Zusammen. mich beschäftigt seit Eröffnung meines Forums die Frage: Können wir gehackt werden und wenn ja, wie kann man sich schützen? Ich betreibe mein Forum ja mit der WBB Software, die Datenbank liegt auf einen Stratoserver. Dort kann man u.a. einen Schreibschutz aktivieren, den ich bei einem Forum aber nicht anwenden kann, sonst kann es zu Problemen mit dem Forum kommen. Habe aber jetzt gehört, das die Datenbank mit einem FTP-Zugang geknackt werden kann? Habe allerdings keinen aktiven FTP-Zugang eingerichtet, Änderungen z.B. an der Indexseite fahre ich immer über den Web-Ftp-Zugang direkt über Strato hoch. Was meint Ihr, kann man sich noch anders schützen außer Backup, Backup, Backup?  Gruß Jörg | |||
| Verfasst am: 12. 08. 2010 [11:58] | |||
der_booker Dabei seit: 11.06.2009  2887 Beiträge | Beitrag hilfreich? | ||
| Das kommt ganz darauf an. Zunächst muss man verstehen, wie ein Hack funktioniert. Es gibt dabei verschiedene Möglichkeiten für einen Angriff. Zum Beispiel kann man die Datenbank mittels SQL-Injection direkt angreifen aber auch der von Dir beschriebene FTP-Hack ist sehr gängig. Leider ist die Webseite http://isatcis.com gerade im Umbau. Da lernt man am lebendigen Beispiel, welche Möglichkeiten eines Hacks es gibt und wie man Sicherheitslücken ausnutzen oder umgehen kann. Generell ist es so, wenn man einen FTP-Zugriff auf die Startseite hat, kann man diese umleiten, löschen oder was weiß ich damit machen. Schutzmöglichkeiten: * regelmässige Änderung der Passwörter! * Verwendung von verschachtelten Konfigurationsdateien * Verwendung von anderen Namen als config.php <-- ist wie eine Einladung * Verwendung von zusätzlichen Datenbanken für die Hinterlegung von Passwörtern * Irreführung, es werden zwar Logindaten hinterlegt, doch die haben keine Verwendung, durch Pseudofunktionen wird simuliert, dass diese Zugangsdaten nützlich sein könnten. * Passwortverschlüsselung * das von Dir angesprochene Backup, ganz klar! * Am besten ist es, wenn der Webauftritt auf einem eigenen Server und einer eigenen Firewall liegt. * Berechtigungen setzen! | |||
| Verfasst am: 12. 08. 2010 [12:03] | |||
havanesertreff Dabei seit: 09.06.2010 Themenersteller 136 Beiträge | Beitrag hilfreich? | ||
| - Berechtigungen sind gesetzt - Backup werden täglich vom Server gemacht und 2 x die Woche nochmals von mir - Passwörter ändern, ganz klar - config.php muß ich mal schaun Ich glaube, wenn ich keinen direkten FTP-Zugang konfiguriert habe, sollte das eigentlich auch schonmal viel Wert sein? Ich habe jetzt gehört, das über FTP-Zugänge die Index-Seite gelöscht wurde und das ganze umgeleitet worden ist auf eine Virusseite mit der Endung .ru | |||
| Verfasst am: 12. 08. 2010 [12:08] | |||
der_booker Dabei seit: 11.06.2009 2887 Beiträge | Beitrag hilfreich? | ||
| Klar, wenn man die Startseite verändern kann, dann ist alles möglich. Bist Du Dir sicher, dass der Web-FTP auch nur über das Web möglich ist? Also hast Du schon mal versucht via FTP-Client mit den gleichen Zugangsdaten auf den Server zuzugreifen? | |||
| Verfasst am: 12. 08. 2010 [13:04] | |||
havanesertreff Dabei seit: 09.06.2010 Themenersteller 136 Beiträge | Beitrag hilfreich? | ||
Den Web-FTP kannst Du aber eigentlich nur über de Strato Kundenplattform starten. Müsste ich mal ausprobieren. Für meine private Seite und für die Fanclubseite gehe ich über Frontpage rein und nicht über den Web-FTP. Nur für das Forum gehe ich übers Web-FTP. | |||
| Verfasst am: 12. 08. 2010 [20:55] | |||
der_booker Dabei seit: 11.06.2009 2887 Beiträge | Beitrag hilfreich? | ||
| Wenn Du mit Frontpage rein gehst, ist das wie ein lokaler Client. Im Grunde nich wie, sondern es ist ein lokaler Client. Du kannst mit FP die Daten online bearbeiten korrekt? | |||
| Verfasst am: 12. 08. 2010 [23:20] | |||
havanesertreff Dabei seit: 09.06.2010 Themenersteller 136 Beiträge | Beitrag hilfreich? | ||
der_booker schrieb: Wenn Du mit Frontpage rein gehst, ist das wie ein lokaler Client. Im Grunde nich wie, sondern es ist ein lokaler Client. Du kannst mit FP die Daten online bearbeiten korrekt? Ja, Dateien uploaden und downloaden. Geht über eine Java-Anwendung. Ist Frontpage als lokaler Client negativ oder positiv? Lokaler Client meinst Du nur von meinem Computer aus? der_booker schrieb: Schutzmöglichkeiten: * Verwendung von anderen Namen als config.php <-- ist wie eine Einladung * Berechtigungen setzen! Die config.php heisst bei mir config.inc.php, ist das ok? Für den WEB-FTP kann man keine Berechtigungen festlegen. Geht nur übers Kundenlog-in. [Dieser Beitrag wurde 2mal bearbeitet, zuletzt am 12.08.2010 um 23:27.] | |||
| Verfasst am: 13. 08. 2010 [14:17] | |||
der_booker Dabei seit: 11.06.2009 2887 Beiträge | Beitrag hilfreich? | ||
havanesertreff schrieb: Ist Frontpage als lokaler Client negativ oder positiv? Lokaler Client meinst Du nur von meinem Computer aus? Das zeigt nur, dass man auch mit einem FTP-Client arbeiten kann. Sprich, kommt ein Hacker an Deine Daten, kann er die Startseite verbiegen respektive auf seine Domain umleiten. Weiterhin kommt er so an Deine weiteren Zugangsdaten ran, da er auch auf die Konfigurationsdatei zugreifen kann. | |||
| Verfasst am: 13. 08. 2010 [15:02] | |||
havanesertreff Dabei seit: 09.06.2010 Themenersteller 136 Beiträge | Beitrag hilfreich? | ||
| Also fasse ich zusammen: Am besten mit dem Web-FTP von Strato aufspielen und keine lokalen FTP-Zugänge benutzen, denn die kann ich sperren, habe das gestern mal ausprobiert. Da ging auch über Frontpage nichts mehr, ergo gehe ich mal davon aus das NIEMAND von aussen dann per FTP was aufspielen kann?! | |||
| Verfasst am: 13. 08. 2010 [19:41] | |||
der_booker Dabei seit: 11.06.2009 2887 Beiträge | Beitrag hilfreich? | ||
| Hallo Jörg, nicht wirklich. Der FTP-Zugang ist ja da, und es ist möglich, von einem lokan Client auf Dein WebVerzeichnis zuzugreifen. Sprich errate ich die Daten oder komme an die FTP-Daten ran, könnte ich Deine Struktur verändern. Von daher mein Rat, regelmäßig die Passwörter ändern, und mit komplexen Passwörtern arbeiten, also nicht Hasi2010 oder so sondern so etwas wie Ac2HkLö#9Wd36,$. Je länger und je komplexer, um so unwahrscheinlicher der Angriff. Diese Methode hat alerdings wieder einen Nachteil, man kann sich das PW nicht merken und was tut man(n) dann? Richtig, man schreibt es auf einen Zettel. Den lässt man(n) liegen und schon haben wir das Problem. Von daher mein nächster Rat für ein PW, welches immer noch komplex ist, aber ohne Zettel zu merken. Sa20#10$ng. Dazu die Erklärung, vor mir steht ein Samsung-Monitor und wir haben das Jahr 2010, beide Sachen dienen als Eselsbrücke und sind leicht zu merken.Dennoch ist das PW komplex und nicht so schnell durch eine Brute-Force-Attacke zu knacken. | |||
Premium-Mitglied
Du bist nicht eingeloggt. Bitte beachte, dass Du eingeloggt sein musst, um Themen zu erstellen oder auf Beiträge zu antworten.
Werde in Echtzeit über neue Foren-Beiträge informiert:
10 Mitglieder waren innerhalb der letzten 15 Minuten online (74 heute gesamt):
19engelchen68, ecomtec, jbx, kiza72, LexService, matthiasmett, presse, psv2002, tester012, webmagie
Administratoren und Moderatoren:
[keine]
Seitenreport hat 18155 registrierte Mitglieder, 3003 Themen und 29112 Beiträge.
Der aktuelle Mitgliederzuwachs liegt bei durchschnittlich 13 bestätigten Neuregistrierungen pro Tag.
Pro Tag werden im Seitenreport Forum durchschnittlich 1 neues Thema und 7 Beiträge erstellt.
Die Durchschnittszahlen berechnen sich aus den letzten 7 Tagen.
Lade...
Neueste Foren-Beiträge
| Abstimmung: 20.000 Mitglieder Jubiläum - was tun? Internes & Ankündigungen / Internes | Gestern [23:07] |
 | Microsofts soziales Netzwerk So.cl Internet / News | Gestern [20:03] |
 | Nicht nachvollziehbarer CSS Fehler Internes & Ankündigungen / Analyse-Ergebnisse | Gestern [13:37] |
| Partnerprogramm: Eintrag für Kunden erledigt Internes & Ankündigungen / Internes | 22. 05. 2012 [10:35] |
 | Hotelbericht Entwickler Treffpunkt / Website vorstellen | 22. 05. 2012 [09:28] |
Lade...
Aktuelle Artikel:
Facebook - eine neue Tech-Blase?
Facebook ist in den vergangenen Tagen wegen seines Börsenganges und den dabei eingefahrenen Investorengeldern von 16 Milliarden Dollar großflächig in die Kritik geraten. Der Marktwert von 104 Milliarden Dollar wird von vielen als maßlos übertrieben angesehen. Ist Facebook eine neue Internet-Blase, die in den nächsten Jahren platzen wird?
Suchmaschinenoptimierung seit dem Google Penguin Update
Das neue Update vom Branchenriesen Google wird in Seo-Kreisen gerne mit einem Erdbeben verglichen. Diese Metapher trifft die Sachlage sehr gut, denn der Pinguin bringt die Arbeitsfundamente der Suchmaschinenoptimierer gehörig ins Wanken.
Tipps für den guten Start ins Business
Sich selbstständig machen, eine Firma gründen und direkt ins eigenständige Berufsleben einzusteigen klingt spannend und irgendwie auch einfach. Doch einfach ist es ganz und gar nicht...
Facebook - eine neue Tech-Blase?
Facebook ist in den vergangenen Tagen wegen seines Börsenganges und den dabei eingefahrenen Investorengeldern von 16 Milliarden Dollar großflächig in die Kritik geraten. Der Marktwert von 104 Milliarden Dollar wird von vielen als maßlos übertrieben angesehen. Ist Facebook eine neue Internet-Blase, die in den nächsten Jahren platzen wird?
18. Mai 2012
Suchmaschinenoptimierung seit dem Google Penguin Update
Das neue Update vom Branchenriesen Google wird in Seo-Kreisen gerne mit einem Erdbeben verglichen. Diese Metapher trifft die Sachlage sehr gut, denn der Pinguin bringt die Arbeitsfundamente der Suchmaschinenoptimierer gehörig ins Wanken.
15. Mai 2012
Tipps für den guten Start ins Business
Sich selbstständig machen, eine Firma gründen und direkt ins eigenständige Berufsleben einzusteigen klingt spannend und irgendwie auch einfach. Doch einfach ist es ganz und gar nicht...
14. Mai 2012