PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [Problem] Sicherheitslücken durch vBB?



oliwood2
02.11.2004, 21:13
Hi Leute,

ich bin im Moment im Begriff grossen Ärger zu bekommen, weil von meinem Server Portscanattacken ausgehen, die anscheinend durch ein ausgeführtes script erzeugt werden.

Kann mir hier jemand helfen, wie ich IIS minimal konfigurieren kann, damit vBB läuft, also welche "Application Extensions" müssen von welchem User ausgeführt werden können, welche User brauchen welche Zugriffsrechte auf welche Files und Ordner?

Wie kann ich MySQL sicher machen und PHP?

Bitte helft mir!!!

Mystics
02.11.2004, 21:40
Verschoben ins richtige Forum.

h75
02.11.2004, 23:00
Also zu allererst mal: vBulletin heist abgekürzt vB! ;)

So jetzt zum Problem: wenn von deinem Server Portscanattacken ausgeführt werden, solltest du mal kontrollieren, welche Scripte du installiert hast. Denn du als Serverbetreiber solltest darüber schon einen gewissen Überblick haben. Du kannst dir z.b. für MySQL die Systeminfos anzeigen lassen. Ausserdem hast du es mit einem Windows-System sehr viel einfacher, den Systemstatus anzeigen und kontrollieren zu lassen. Es gibt doch für fast alles Logdateien. Dort werden u.a. Ein- und Ausgehende verbindungen protolliert.

So jetzt zu IIS? Warum nutzt du die? Benutze doch lieber den Apache Webserver. Der ist viel sicherer und auch viel zuverlässiger. Ausserdem braucht der bei weitem nicht soviele Prozesse und Arbeitsspeicher wie die IIS.

IIS würde ich dich im lokalen Netzwerk empfehlen, aber wenn du das im Internet nutzen willst, musst du immer die atuellen Sicherheitspatches einspielen. Nährere Informationen dazu findest du hier:

IIS Sicherheitslücken schliessen
http://www.microsoft.com/technet/Security/default.mspx

IIS Downloads
http://www.microsoft.com/windowsserver2003/iis/downloads/default.mspx

Windows Security Sites
http://www.microsoft.com/security/default.mspx

Checkliste
http://cert.uni-stuttgart.de/ms-iis5.php

Tips und Tricks
http://www.zdnet.de/enterprise/security/0,39023272,39116841-4,00.htm

News
http://www.heise.de/newsticker/meldung/48619

So, das wars erstmal. Mehr fällt mir gerade erstmal nicht ein. Wenn du noch Fragen hast, dann her damit! :)

Apache Webserver für Windows
http://httpd.apache.org/download.cgi?Preferred=ftp%3A%2F%2Fftp-stud.fht-esslingen.de%2Fpub%2FMirrors%2Fftp.apache.org%2Fdist

oliwood2
03.11.2004, 08:57
hi, vielen dank für deine ausführlich antwort, das hilft mir schon mal ein ordentliches stück weiter!

2 Antworten Fehlen mir allerdings noch:

Welche Application Extensions müssen für die Website installiert sein? (.asp, .cgi, .php, .cs, .config ...)

Welche Benutzer müssen welche Rechte auf welche Files haben?

E=mc²
03.11.2004, 12:16
Waqs installiert sein muss hängt stark von Deinen eigenen Bedürfnissen ab. PHP, MysQL zum Beispiel sind wenn Du ein vB betreiben willst schon mal Pflicht. Aber nun weiter im Text. Das mit den Rechten kann man nicht pauschal beantworten. Beim vB steht bei der Beschreibung für die Installation genau dabei welche Dateien und Ordner welche Rechte haben müssen. Aber bei anderen Skripten wird das schwieriger. Denn da kannst Du wenn Du die Rechte falsch setzt ganz schöne Probleme bekommen. Besser ist es Du holst Dir jemanden der Dir etwas helfen kann. Denn sonst kann der Ausflug Rootserver für Dich ganz schön unangenehme Folgen haben. Nicht nur weil nichts läuft sondern weil Du für alles was auf dem Server passiert verantwortlich bist. Das bedeutet auch das wenn da einer was hochläd, weil Du es nicht genug gesichert hattest, z.B. Wares, dann musst Du unter umständen für den Schaden aufkommen.

Mein dringender Tip an Dich nehm einen Magedserver oder sieh zu das Du jemanden findest der Dir für ein paar € hilft. Bei dem Aufwand der nötig ist kann man es schon fast nicht umsonst von einem Fremden verlangen.

oliwood2
03.11.2004, 13:42
hehe @ EMC

ne is schon ok, ich bin fast MCSA und seit Jahren beruflich Serveradmin. Ich kenn mich da schon aus, nur PHP ist noch eine Schwachstelle.

Ich wollte ja nicht generell über die Security im IIS bescheid wissen, sondern eben nur was die vB website anbelangt, denn wie gesagt, für andere sites ists mir schon klar, aber was muss bei vB im Application Pool aktiviert sein damit es funktioniert.

Im moment ist da noch viel zu viel drinnen, da möchte ich einiges rausnehmen, ich glaueb aber nicht, dass es nur mit .php im pool funktionieren wird.

oliwood2
04.11.2004, 09:03
hi leute, ich hab nun alles secured, ich muss lediglich noch wissen welche extensions ich im application pool benötige!!!