Mailinglisten-Archive |
Silvio Siefke wrote: > Morgen, > > Christoph Jeschke schrieb: >> Am Montag, 4. Februar 2008DE 15:34:51DE schrub Yannik Hampe: > > Ich habe mir deine Email sehr aufmerksam durch gelesen. Das macht ein > echt Angst und bange, praktisch ist es besser den Serverbetrieb > einzustellen und dann ohne "Hosting" zu leben. Lass dich nicht so schnell einschüchtern. Im Jahr 2004 sind in den Ländern, die 2003 bereits EU-Länder waren _täglich_ ~120 Leute an den folgen von Verkehrsunfällen gestorben... Trotzdem lassen sich die Menschen von kleinen Terroranschlägen Angst machen und nicht vor dem Auto fahren. Und wenn ein paar Leute in einem Hochhausbrand umkommen, die auch keine Konkurrenz zu den täglichen Verkehrstoten darstellt, dann bläst eine Stadt auch alle Karnevalsveranstaltungen an dem Abend ab. Das soll jetzt keine politische Diskussion starten, sondern nur zeigen, dass der durchschnittliche Mensch ein sehr gestörtes Verhältnis zur Risikeneinschätzung. Um jetzt mal wieder zu deinem Server zurück zu kommen: Vollständige Sicherheit ist eine Illusion. Selbst Server von Banken wurden bereits geknackt (gerade vor ein paar Jahren wieder bei einer Bank in Afghanistan) und die stecken wesentlich mehr Geld und Personal in die Absicherung deren Systeme, als du jemals bei deinem System in der Lage sein wirst. Dafür haben an dem Bankserver auch viel mehr Leute ein Interesse. Du hast es vermutlich eher mit ein paar "Script-Kiddies" zu tun. Also mit Leuten, die technisch eigentlich etwas unterbelichtet sind und dann mit irgendwelchen coolen "Hackertools", die die sich aus dem Internet runtergeladen haben irgendwelche Standardattacken durchführen. Solche Attacken richten sich dann meistens an sicherheitslücken in verbreitete Software (zum Beispiel ein phpBB-Forum etc). Dagegen kann man sich leicht schützen: Updaten, updaten, updaten. Ein weiterer Schutz ist es die Versionsnummern zu verstecken, wie ich vorher beschrieben habe. Ein Angreifer, der eine Sicherheitslücke in einer bestimmten php-Version ausnutzen will sucht solange zufällige Server ab, bis er einen Server mit der entsprechenden php-Version gefunden hat. Zeigt dein Server die php-Version nicht an, kannst du verhindern, dass sich überhaupt irgendwer für deinen Server interessiert. > > Mein Testsystem befindet sich zu hause, diese Seite ist produktiv, > seit Jahren schon am Netz, allerdings häufen sich in der letzten Zeit > diese Logeinträge. Ich habe die verfolgt, aber ich bleibe auf meiner > Seite, verlasse die nicht. Ich habe extra wieder selbst angefangen zu > "coden" ohne CMS, weil mir die Logeinträge damals auf den Nerv > gingen. Jetzt geht das wieder los, da fragt man sich doch ob die > Leute nichts anderes zu tun haben. Ich versteh ja, wenn > "Großprovider" oder andere Einrichtungen die viele Kunden betreffen > angegriffen werden, aber was hat den eine normale Internetseite für > ein Interresse. Aber mit der Größe des Internet scheinen auch immer > mehr Spinner das Licht der Welt zu entdecken. Ja, es handelt sich hier wirklich um Leute, die nichts besseres zu tun haben. Wenn du Glück hast, sind es einfach nur Leute, die dir einen Hinweis hinterlassen, wo das Problem mit deinem System ist und wie du es behebst. Wenn du Pech hast bist du nachher froh ein Backup zu haben. Wenn du viel Pech hast wurde dein Server verwendet um eine weitere Attacke auszuführen und du kannst dich nachher damit beschäftigen, wie du der Polizei beweist, dass die Attacke nicht von dir ausgeführt wurde. Aber es ist auch gut, dass es solche Spinner gibt. Denn die Existenz dieser Spinner erzeugt einen enormen Druck auf Programmierer und macht das Internet am Ende für alle sicherer. > > Ich will mal sagen auf ein Gäsebuch kann ich verzichten, bin schon > lange am überlegen es heraus zu nehmen. Das Newsscript, > (*_comment.php, zitate.php) bietet mir eine wunderbare Art der Pflege > und ein Archiv. Ein Statistikscript ist etwas schönes, ich habe auch > extra zu ein Programm gegriffen was nicht so verbreitet ist. Den wenn > ich mir ansehe wieviele Suchanfragen ich in der Log nach AWStats, > Webalizer, PHPMyAdmin etc. habe. Weit verbreitete Software hat meistens den klaren Vorteil, dass es mehr Leute gibt, die den Quelltext lesen und bei gefundenen Fehlern sofort für einen Patch sorgen. Und natürlich den Nachteil, dass es mehr böse Leute gibt, die bei gefunden Fehlern versuchen anzugreifen. Daher ist es bei verbreiteter Software doppelt wichtig upzudaten. Das macht die Software aber eher sicherer als unsicherer, weil du davon ausgehen kannst, dass die meisten Sicherheitslücken bereits gefunden wurden und nicht all zu häufig Neue gefunden werden. > > Aber anscheinend ist man wirklich vor garnichts mehr sicher. Jetzt > sollte ich mir doch mal wieder ein richtigen Rootserver zulegen, > alles selbst bauen und dann Begriffe wie Chroot und PHP richtig > lernen. Der Vserver ist nicht wirklich für soetwas zu gebrauchen. > Aber wenn ich bedenke das ich allein hunderte von Stunden damit > verbracht habe Postfix, Apache und Mysql etwas vernünftig zu lernen, > dann bedarf es ja bald ein Studium um ein Server zu betreiben. > Obwohl, ich habe zwar viel in den Logs stehen, aber bisher noch nie > ein "Hacker" im System gehabt. Ich finde seit 2003 ist das ja doch > eine gute Quote. In der Tat. Man ist vor garnichts mehr sicher. Weder, wenn man ins Auto steigt, noch wenn man einen Server betreibt. Aber man kann viel tun um das Risiko einzuschränken. > > PS: Hacker ist in Klammern, den wenn ich den CCC richtig verstehe, > dann sind es wohl keine Hacker. Denn die Hackerethik ist ja in dieser > Hinsicht eindeutig. > > Aber mit den Servern ist es wie mit Windows, jemehr User um so mehr > Spinner. Wie aus Man in Black: "Ein Mensch ist intilligent. Viele Menschen sind ein großer panischer, histerischer Haufen" (oder so ähnlich). Sowohl für Serveradministration als auch für Windowsbentzung muss man eigentlich schon im Vorraus ein Spinner sein um sich dem Projekt zu widmen. Windows habe ich mittlerweile aufgegeben, aber für Serveradministration bin ich noch Spinner genug ;-). > Schöne Grüße Silvio Yannik
php::bar PHP Wiki - Listenarchive