Mailinglisten-Archive |
Am Dienstag, 5. Februar 2008DE 01:26:14DE schrub Silvio Siefke: Guten Morgen, > Ich habe mir deine Email sehr aufmerksam durch gelesen. Das macht ein echt > Angst und bange, praktisch ist es besser den Serverbetrieb einzustellen und > dann ohne "Hosting" zu leben. Das kommt einfach darauf an, wie groß der Schaden ist, den man riskiert und wie groß die Vorteile sind, die man erreicht. Für jemanden, der sein Geld mit Programmierung verdient wäre es sicher unsinnig, auf eine Visitenkarte im Netz zu verzichten. Letztlich musst Du das entscheiden. > Mein Testsystem befindet sich zu hause, diese Seite ist produktiv, seit > Jahren schon am Netz, allerdings häufen sich in der letzten Zeit diese > Logeinträge. Ich habe die verfolgt, aber ich bleibe auf meiner Seite, > verlasse die nicht. Ich habe extra wieder selbst angefangen zu "coden" > ohne CMS, weil mir die Logeinträge damals auf den Nerv gingen. Jetzt geht > das wieder los, da fragt man sich doch ob die Leute nichts anderes zu tun > haben. Ich versteh ja, wenn "Großprovider" oder andere Einrichtungen die > viele Kunden betreffen angegriffen werden, aber was hat den eine normale > Internetseite für ein Interresse. Aber mit der Größe des Internet scheinen > auch immer mehr Spinner das Licht der Welt zu entdecken. IMHO begehst Du den Fehler zu glauben, dass diese Angriffe speziell dir gelten. Das ist vermutlich nicht so. Es ist für die Angreifer (derzeit) einfach günstiger, ohne lange Detektivarbeit im Schrot-Prinzip möglichst viele Seiten/Hosts anzugreifen. Denn Rechenzeit kostet die meistens nichts und eilig haben sie es auch nicht. Zusätzlich ist die Gefahr, erwischt und bestraft zu werden, gering. > Ich will mal sagen auf ein Gäsebuch kann ich verzichten, bin schon lange am > überlegen es heraus zu nehmen. Das Newsscript, (*_comment.php, zitate.php) > bietet mir eine wunderbare Art der Pflege und ein Archiv. Vielleicht kann ja dein Newsscript einfach statische Seiten erzeugen, die Du dann von einem Testsystem aus auf das Livesystem publizierst. So hättest Du den Komfortvorteil ohne die Sicherheitsprobleme. > Ein Statistikscript ist etwas schönes, ich habe auch extra zu ein Programm > gegriffen was nicht so verbreitet ist. Den wenn ich mir ansehe wieviele > Suchanfragen ich in der Log nach AWStats, Webalizer, PHPMyAdmin etc. habe. Hier begehst Du einen Fehlschluss. Die Verbreitung einer Software sagt nichts über deren Resistenz gegen Angriffe aus, wohl aber über die Zahl der Angriffe. Die Anzahl der Angriffe ist aber nicht relevant: Ein jeweils gleichartiger Angriff wird nicht bei jeweils gleichbleibendem Angriffsziel deshalb zum Ziel führen, weil es davor bereits n andere gleichartige Angriffe gab. Die richtige Wahl wäre also Software zu verwenden, die keine (bekannten) Sicherheitslücken hat, egal wie verbreitet diese ist. > Aber anscheinend ist man wirklich vor garnichts mehr sicher. Jetzt sollte > ich mir doch mal wieder ein richtigen Rootserver zulegen, alles selbst > bauen und dann Begriffe wie Chroot und PHP richtig lernen. chroot (unter Linux) ist auch kein Sicherheitsmechanismus. > Der Vserver ist > nicht wirklich für soetwas zu gebrauchen. Aber wenn ich bedenke das ich > allein hunderte von Stunden damit verbracht habe Postfix, Apache und Mysql > etwas vernünftig zu lernen, dann bedarf es ja bald ein Studium um ein > Server zu betreiben. Es bedarf zumindest einer gewissen Erfahrung. > Obwohl, ich habe zwar viel in den Logs stehen, aber > bisher noch nie ein "Hacker" im System gehabt. Ich finde seit 2003 ist das > ja doch eine gute Quote. Bist Du dir sicher, beurteilen zu können, ob das wirklich stimmt? Ich kenne deinen Kenntnisstand nicht und möchte dir auch nicht unterstellen, dass Du hier erneut fehlschließt, aber ich möchte dazu anregen, kritisch zu hinterfragen, ob man es nur nicht gemerkt haben könnte. Gruß Christoph -- echo "Your stdio isn't very std." -- Larry Wall in Configure from the perl distribution
php::bar PHP Wiki - Listenarchive