Anleitung zur Absicherung eines Web Servers gesucht

Was zum Henker machen Bankzugangsdaten auf nem Webserver?

das wäre dann die 2te logische Frage die man sich stellt. Aber jemand der sich den Webserver hacken lässt packt sicher auch seine Bankdaten mit PIN auf seinen Webserver...!! Ohne Worte....

Hallo!
Das mit dem Freund kenne ich... Ein Freund von mir - nennen wir ihn mal Jurobe73 schaut sich im Internet dauernd Porno an! Wie kann man mir ... äh äh äh ihm helfen

Nix für ungut!

Ich möchte Dich nicht so schimpfen wie die Kollegen (wobei ich ihnen natürlich recht gebe...)
Wenn ich Dich recht verstehe, dann hast du dir einen account bei einem Hoster gesucht und dorthin per FTP deine Website geschoben.

Nun gibt es 2 Ursachen für dein Unglück (und damit bist Du ohnehin schon genug geplagt, da brauchst Du unsere stinkigen Kommentar nicht mehr...):
Dein FTP-Passwort war LULU (dann hast du schon die Ursache und die Lösung!)
Deine PHP-Files - oder Joomla oder Typo3 oder was weiss ich waren nicht upgedatet oder echt ###e geschrieben.
Dann hast Du auch schon die Ursache und die Lösung

Gehe in Dein inneres (hoffenltich findest da drinnnen nicht allzuviel grausliges... bei mir ist sowas immer gefährlich ) und dann wirst Du schon die Ursache finden.

Letzte Frage, die du dir stellen solltest: Warum hast du diese - für Dich - sensiblen Daten auf den Webserver geparkt? Antwort = Lösung fürs nächstemal, wie man sowas vermeiden kann....

btw: wenn Du Nacktfotos von Deiner Freundin am Webserver hattest: Poste sie mal hier! Wir können Dir dann genauere Tipps geben, was den Lesestoff betrifft
(meine ich ernst, eh klar!!!)

Frei nach Sigmund Freud: Zeig mir deine nackte Freundin und ich sage Dir, was Du lesen sollst!

Zusatz:

Anleitung zur Absicherung eines Web Servers gesucht
ist für Dich completamente uninteressant!!!
Ausnaheme: Du willst demnächst bei einem Webhoster anheuern

daher muss Deine Frage eher lauten:

Anleutung gesucht, wie man es vermeidet, unsichere Passwörter zu verwenden und sensible Daten am Webserver abzustellen

nix für ungut!

na nicht nur folgendes GEHÖRT UNBEDINGT auf einen Webserver:

- Bankdaten
- Zugangsdaten zu Social Networks
- IM Zugangsdaten

sondern auch noch ganz wichtig:

- Kopien sämtlicher persönlicher Daten/Dokumente

damit der Identitätsklau perfekt wird. Also:

- hochauflösende Bilder vom Perso, Kreditkarte, Reisepass evtl. jeweils mit minidump der RFID TAGS xD und vielleicht auch noch gleich der anderen Chips
- eingescannte Fingerabdrücke
- rundumansichten der eigenen Person
- Kopien sämtlicher Zeugnisse

und und und ^^

Ne Spaß beiseite. Würd mal sage A-Karte. Aber wie heißt es so schön, wer den Schaden hat .......

Da kann man nur hoffen, das aus dieser Situation mächtig viel gelernt wird. xD

Hi,

ich gehe stark davon aus das auf der Webseite deines Freundes / oder wem auch immer... (das sei hier mal dahingestellt),
eine Forensoftware zum Einsatz kam wie phpBB oder ähnliche Konsorten. Diese haben idR. immer irgendwo Sicherheitslücken
besonders wenn man diese nicht regelmäßig updated. Es gibt massenweise Untergrund Seiten im Netz wo du fertige Exploits
findest zu den jeweiligen Versionen dieser Forensoftware mit denen du dann Zugriff auf fast alles was auf dem Webspace liegt
hast.

Ist mir leider selbst vor Jahren mal passiert das jemand einen Exploit für phpBB ausgenutzt hatte um meine Website abzuschießen
bzw. mit sehr "toller" türkischer Musik, Bannern und sonstigem Mist zu "verschönern". Aber aus solchen Fehlern lernt man dann recht
schnell ;)

Such den Fehler nicht beim Hoster, die sind idR. nicht Schuld sondern einfach deine/seine eingesetzte "klick & bunt" Foren Software.

Mfg.

Moin,

also die simple Version ist ganz einfach: Lasse niemanden ohne Grundwissen an einen Root-Server im Internet. Sowas lernt man erstmal indem man sich den Server @home hinstellt und dort rumprobiert. Selbstverständlich ist das dann NICHT der eigene Fileserver auf dem man alles draufbläst was einem so in den Sinn kommt - sondern ne eigene Maschine (VM oder real). Wenn man dann ein wenig Erfahrung hat DANN darf man sich an nen Root-Server wagen! Und diese Erfahrung wirst du weder auf Webseiten noch auf sonstigen Dingen finden - diese Erfahrung kann man nur für sich selbst machen. Welche Webseite soll mir denn beschreiben wie ich meinen Webserver absichere - auf dem sicher andere Dinge laufen als bei dir...

Der nächste Schritt ist sich ganz klar gedanken zu machen was man auf dem Ding hinterlegt. Mir fällt selbst beim Nachdenken nicht EIN sinnvoller Grund ein warum auf meinem Webserver die Bankdaten oder sonstige Zugangsdaten liegen sollten. Sollte meine befürchtung eintreffen und die Gleichung $USER = zu_dämlich_um_sich_sowas_zu_merken(); zutreffen -> dann gilt umso mehr das derjenige keinen Zugang zum Root-Server bekommen sollte! Oder nagelt der sich zuhause an die Haustür etwa auch Blanko-Unterschriebene Schecks? Nen Webserver dient nunmal nur einem Zweck: Die vorhandenen Informationen so ins Web zu pusten -> und dem is es egal ob es grad die Maße vom Playmate des Monats sind - oder ob das die letzte Gleichung von S. Hawkings ist.

Und ganz ehrlich: Wenn ich dir jetzt genau sagen würde wie ICH nen Server absichere bringt dir das herzlich wenig. Denn: Wie möchtest DU testen ob die Maßnahmen auch richtig umgesetzt wurden? Und um dir zu sagen wie du sowas testen kannst würde ich u.A. gegen die Board-Regeln verstoßen. Du kannst sowas nunmal nur testen indem du versuchst den Server zu knacken -> und dafür wird dir HIER keiner eine Anleitung geben... (ich weiss ja nicht ob du dieses Wissen nicht auch gleich bei meinem Webserver dann versuchst)

Hallo!
Ich hab allerdings einen Trost: Du bist nicht allein! Das ist schon sooo vielen passiert, dass es gar nicht mehr wahr ist! Mach Dir nichts draus!
Und sei froh, dass Du den Server nicht selbst betrieben hast und dass er nicht Windows war, ansonsten würde der Spott nochmal hässlicher ausfallen...
(die LINUX-Community meint, sie hätte das Wunderding mit ihrem Apache und Windows ist ein Teufelsding...)

btw hab ich mir gerade Dein Profil hier angeschaut:



bist Du dir sicher, dass man solche Infos wirklich im Internet veröffentlichen sollte?

Hmm - hört sich ein wenig an als wenn du ein Problem mit Linux hast...

Generell: Nein, Windows ist kein Teufelsding. Aber ich nutze nen System so wie es Sinn macht. Und für nen Webserver welcher eben nur dafür da ist das man Daten ins Web bläst macht nen Windows-Server in den meisten Fällen keinen Sinn. Nicht nur weg. möglicher Sicherheitsprobleme sondern auch:
- weil es die meisten Skript-Kiddys einfach schon überfordert mit ner Login-Shell klarzukommen
- weil ich keine 256-512 MB RAM benötige damit mein Server eine graphische Oberfläche darstellt die ich eh nicht sehe (und die der Webserver sicher nicht benöttigt)
- weil ich diese 256-512 MB RAM lieber als Cache benutze
- weil ich auch die 95% der anderen Dienste (Windows-Freigaben, RPC-Funktionen usw.) auf einem simplen Webserver nicht benötige
- ...

Nun - möchtest du das ich die Aufzählung weiterführe? Der Apache ist sicher kein Wunderding - aber das ganze Paket was da umzu geschnürt wurde ist sicherlich (wenn beides eine Person mit Erfahrung einrichtet) um einiges flotter als der ganze bunte Kram von Windows. Natürlich hat Windows auch seine Berechtigung - als Domänen-Controller, wenn man Exchange nutzt usw. -> aber um diese Dienste geht es hier nunmal nicht! Und wenn jemand der grad mal ne Maus unfallfrei bewegen kann meint er richtet nen Webserver ein dann ist das ganz schlicht und einfach nen FATAL ERROR und man sollte der Person die Maus solange um die Ohren hauen bis selbst Linux nen Blue-Screen wirft! Denn nur weil jemand auf 3 Tasten in folge klicken kann bedeutet das nicht das er/sie nen Server sicher einrichten kann. Und dieser Server könnte genau der sein von dem der Angriff auf MEINE Systeme gestartet wird...

Hallo,

ich denk du bringst da was durcheinander, es gibt einmal webspace (für eigene Seiten, viele verschiedene User teilen sich einen Server) und Webserver
(du hast volle Kontrolle über die virtuelle oder physikalische Kiste).
beim ersten kannst du selber fast gar nichts absichern (außer keine unsicheren scripte raufladen), beim zweiten kannst du alles gegen die Wand fahren.