[HaBo]

Moppel1291 · 06.11.07, 14:45

Also ich habe schon seit einiger zeit meinen webserver am laufen.. mit chat, bildergallerie, music streams etc.

eigentlich ist es egal wenn ein hacker da drauf kommt, weil das nur mein alter ist.. den benutze ich kaum.. aber ist dass denn wirklich so, dass wen der server läuft, der pc offen wie ein scheunentor ist??

**bitmuncher** · 06.11.07, 14:59

Mit den Default-Einstellungen ist XAMPP tatsächlich sehr unsicher. Das hat verschiedenste Ursachen:

1. Es sind viele Sachen im Server aktiviert, die nicht genutzt werden und die per Default Angriffspunkte bieten, wie z.B. experimentelle Apache-Module, CGI-Möglichkeiten, HTTP-Trace und -Track sind aktiviert u.a. Das alles ordentlich zu überwachen ist fast unmöglich und man muss den Server erstmal ordentlich abspecken damit er einigermassen sicher ist, was ein enormer Aufwand ist.
2. Der Server hat keinerlei Prozesslimits. Eine (D)DoS-Attacke auf einen XAMPP führt daher meist zu Erfolg, wenn nicht noch eine sehr gute Firewall vorgeschaltet ist.
3. Die wenigsten XAMPP-User aktualisieren ihren XAMPP regelmässig, da der Aufwand dafür recht gross ist. Händisch angepasste Konfigurationen werden bei Updates einfach überschrieben und müssen danach also wieder eingespielt werden, Services müssen nach einem Update erneut deaktiviert werden u.a.
4. Die Entwickler von XAMPP achten selbst nicht sonderlich auf Sicherheit und entsprechend lange lassen sicherheitskritische Patches auf sich warten.

Weitere Kleinigkeiten liessen sich aufzählen, aber die genannten 4 Punkte dürften die Hauptkriterien sein, warum kein Admin, der ein wenig Grips im Kopf hat jemals einen XAMPP im Live-Betrieb einsetzen würde. XAMPP ist dafür gedacht, dass ein Entwickler lokal auf seinem Rechner Sachen testen kann, aber nicht für den Live-Betrieb. Darauf wird in irgendeiner Readme-Datei auch hingewiesen.

Anzeige

- Anzeige -

Woosh · 06.11.07, 16:55

Und was ist für den Live-Betrieb besser geeignet? Ich schätze mal Apache2 und z. B. MySQL getrennt voneinander installieren, oder?
Ist bei XAMPP wirklich so viel zusätzliches Zeugs (außer das, das ja z. B. im "Control-Panel" erwähnt wird, wie z. B. Filezilla und Mercury)?

Gruß
Woosh

**bitmuncher** · 06.11.07, 17:35

Besser geeignet ist einfach ein Webserver, bei dem nur die Sachen installiert werden, die tatsächlich genutzt werden. Je weniger Ballast ein Webserver mit sich rumführt umso weniger Angriffspunkte gibt es. Deswegen bieten die meisten Distros PHP und Apache ja in Module-Pakete unterteilt an.

Und ja, allein die Tatsache, dass XAMPP fast alle verfügbaren Apache-Module und selbiges für PHP mitinstalliert, zeigt schon, dass eine Menge unnötiges Zeug drin ist.

Und wie bereits gesagt, achten die XAMPP-Entwickler selbst nicht sonderlich auf Sicherheit, worauf sie auch selbst hinweisen.

Nimda05 · 06.11.07, 18:12

noch ein punkt: Ein frisch installierter XAMPP Server hat ja nun in aller regel auch nen phpmyadmin mit dem Superuser sa drin. Dabei ist benutzername und Passwort als default sa: oder sa:sa oder sa:admin (Username

assword).
Wenn man soweit ist, kann man durch eine "Sicherheitslücke" in MySQL ansich eine PHP-Shell auf die Platte schreiben und dann da via Browser drauf. Ein bisschen rumfummeln und dann heist dein Server in der Szene "Str0" (Servers that are owned).

Und weil es so schön ist und diese Sicherheitslücke schon ewig gibt, gibt es inzwischen sogar Scanner mit denen du direkt nach einer dieser Passwortkombinationen einen iprange "durchtesten" kannst. Macht man vor allem inna FXP-Szene so.
Hat aber auch so seine Vorteile: du hast quasi dann immer die neuesten Filme auf deiner Kiste

beavisbee · 07.11.07, 18:49

mein Tipp:
Debian Linux als Server-Betriebssystem, Apache2, PHP5 (noch besser: PHP über fastcgi), MySQL5 drauf installieren und regelmäßig über apt-get update und apt-get upgrade das gesamte System aktuell halten.

Moppel1291 · 07.11.07, 20:19

Jo danke für die vielen antworten!!

Aber ein paar fragen habe ich noch..

im control panel des XAMPP servers gibts die funktion einen FTP server einzuschalten.. weiss jemand wie man die benutzer konfiguriert bzw. erstellt? im programmverzeichnis gibt es einen ordner namens anonymous.. genau in diesen ordner kann ich schauen, wenn ich mich als anonymer benutzer via ftp mit dem server verbinde.. nur wie kann man jetz mehrere benutzermit passwort anlegen?

und was macht eigentlich dieses mercury?? wofür brauch man das?

und noch eine frage^^ eigentlich habe ich den server nur aus einem grund erstellt.. ich wollte meine mp3 playlisten via RSS-Stream auf meine PSP (Playstation Portable) streamen... mit diesem php script, das dies ermöglicht, kann man durch den kompletten PC surfen (C:\ ; D:\ ; E:\ ; ...) gibt es auch ein dateimanager script dass dies kann?

oeaben · 07.11.07, 20:37

Hi,

Mercury ist ein Mailserver!
Wenn du beispielsweise Mails per php Script verschicken willst brauchst du einen Mailserver

gruß

Woosh · 07.11.07, 20:41

Zitat:

Original von Moppel1291im control panel des XAMPP servers gibts die funktion einen FTP server einzuschalten.. weiss jemand wie man die benutzer konfiguriert bzw. erstellt?

Erstellt wurde er normalerweise schon bei der Installation. Normalerweise müsste da ein Button sein mit "Admin..." o. ä. Dort kannst du unter anderem auch Benutzer anlegen und verwalten

Zitat:

Original von Moppel1291und was macht eigentlich dieses mercury?? wofür brauch man das?

Ein Mailserver. Vielleicht hilft dir das hier weiter: http://www.pmail32.de/mercury/index.htm

Liebe Grüße
Woosh

[EDIT: ] Da war ich wohl etwas zu langsam ^^

menace · 07.11.07, 23:47

Zitat:

PHP5 (noch besser: PHP über fastcgi)

Magst du das auch begründen? würde mich interessieren, warum php+fcgi "besser" (wie besser?) als mod_php sein soll.

beavisbee · 08.11.07, 01:27

okay, für nen normalen privaten Server, wo nur eine Seite drauf läuft, ist fcgi vieleicht nicht unbedingt notwendig, vieleicht (zugegeben) sogar überflüssige Arbeit. (der Hinweis auf fast_cgi ist nur automatisch beim tippen so drin... :-) )

für mich persönlich ist fcgi echt ne feine Sache, weil ich damit jedem vHost seine eigene php.ini geben kann oder sogar verschiedene vHosts mit verschiedenen PHP-Versionen laufen lassen kann

genauere Infos:
http://www.rootforum.de/wiki/howto/p...php_vs_php-cgi

Anzeige

- Anzeige -

06.11.07, 14:45	#1 (permalink)
Moppel1291 Registriert seit: 06.11.06 Likes: 0	Apache XAMPP Server wirklich so unsicher? Anzeige Also ich habe schon seit einiger zeit meinen webserver am laufen.. mit chat, bildergallerie, music streams etc. eigentlich ist es egal wenn ein hacker da drauf kommt, weil das nur mein alter ist.. den benutze ich kaum.. aber ist dass denn wirklich so, dass wen der server läuft, der pc offen wie ein scheunentor ist??

06.11.07, 14:59	#2 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 442	Mit den Default-Einstellungen ist XAMPP tatsächlich sehr unsicher. Das hat verschiedenste Ursachen: 1. Es sind viele Sachen im Server aktiviert, die nicht genutzt werden und die per Default Angriffspunkte bieten, wie z.B. experimentelle Apache-Module, CGI-Möglichkeiten, HTTP-Trace und -Track sind aktiviert u.a. Das alles ordentlich zu überwachen ist fast unmöglich und man muss den Server erstmal ordentlich abspecken damit er einigermassen sicher ist, was ein enormer Aufwand ist. 2. Der Server hat keinerlei Prozesslimits. Eine (D)DoS-Attacke auf einen XAMPP führt daher meist zu Erfolg, wenn nicht noch eine sehr gute Firewall vorgeschaltet ist. 3. Die wenigsten XAMPP-User aktualisieren ihren XAMPP regelmässig, da der Aufwand dafür recht gross ist. Händisch angepasste Konfigurationen werden bei Updates einfach überschrieben und müssen danach also wieder eingespielt werden, Services müssen nach einem Update erneut deaktiviert werden u.a. 4. Die Entwickler von XAMPP achten selbst nicht sonderlich auf Sicherheit und entsprechend lange lassen sicherheitskritische Patches auf sich warten. Weitere Kleinigkeiten liessen sich aufzählen, aber die genannten 4 Punkte dürften die Hauptkriterien sein, warum kein Admin, der ein wenig Grips im Kopf hat jemals einen XAMPP im Live-Betrieb einsetzen würde. XAMPP ist dafür gedacht, dass ein Entwickler lokal auf seinem Rechner Sachen testen kann, aber nicht für den Live-Betrieb. Darauf wird in irgendeiner Readme-Datei auch hingewiesen. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

06.11.07, 17:35	#4 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 442	Besser geeignet ist einfach ein Webserver, bei dem nur die Sachen installiert werden, die tatsächlich genutzt werden. Je weniger Ballast ein Webserver mit sich rumführt umso weniger Angriffspunkte gibt es. Deswegen bieten die meisten Distros PHP und Apache ja in Module-Pakete unterteilt an. Und ja, allein die Tatsache, dass XAMPP fast alle verfügbaren Apache-Module und selbiges für PHP mitinstalliert, zeigt schon, dass eine Menge unnötiges Zeug drin ist. Und wie bereits gesagt, achten die XAMPP-Entwickler selbst nicht sonderlich auf Sicherheit, worauf sie auch selbst hinweisen. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

06.11.07, 18:12	#5 (permalink)
Nimda05 Registriert seit: 18.07.05 Likes: 0	noch ein punkt: Ein frisch installierter XAMPP Server hat ja nun in aller regel auch nen phpmyadmin mit dem Superuser sa drin. Dabei ist benutzername und Passwort als default sa: oder sa:sa oder sa:admin (Usernameassword). Wenn man soweit ist, kann man durch eine "Sicherheitslücke" in MySQL ansich eine PHP-Shell auf die Platte schreiben und dann da via Browser drauf. Ein bisschen rumfummeln und dann heist dein Server in der Szene "Str0" (Servers that are owned). Und weil es so schön ist und diese Sicherheitslücke schon ewig gibt, gibt es inzwischen sogar Scanner mit denen du direkt nach einer dieser Passwortkombinationen einen iprange "durchtesten" kannst. Macht man vor allem inna FXP-Szene so. Hat aber auch so seine Vorteile: du hast quasi dann immer die neuesten Filme auf deiner Kiste

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

06.11.07, 16:55	#3 (permalink)
Woosh Registriert seit: 30.05.07 Likes: 0	Und was ist für den Live-Betrieb besser geeignet? Ich schätze mal Apache2 und z. B. MySQL getrennt voneinander installieren, oder? Ist bei XAMPP wirklich so viel zusätzliches Zeugs (außer das, das ja z. B. im "Control-Panel" erwähnt wird, wie z. B. Filezilla und Mercury)? Gruß Woosh

07.11.07, 18:49	#6 (permalink)
beavisbee Member of Honour Registriert seit: 22.02.07 Likes: 77	mein Tipp: Debian Linux als Server-Betriebssystem, Apache2, PHP5 (noch besser: PHP über fastcgi), MySQL5 drauf installieren und regelmäßig über apt-get update und apt-get upgrade das gesamte System aktuell halten.

07.11.07, 20:19	#7 (permalink)
Moppel1291 Themenstarter Registriert seit: 06.11.06 Likes: 0	Jo danke für die vielen antworten!! Aber ein paar fragen habe ich noch.. im control panel des XAMPP servers gibts die funktion einen FTP server einzuschalten.. weiss jemand wie man die benutzer konfiguriert bzw. erstellt? im programmverzeichnis gibt es einen ordner namens anonymous.. genau in diesen ordner kann ich schauen, wenn ich mich als anonymer benutzer via ftp mit dem server verbinde.. nur wie kann man jetz mehrere benutzermit passwort anlegen? und was macht eigentlich dieses mercury?? wofür brauch man das? und noch eine frage^^ eigentlich habe ich den server nur aus einem grund erstellt.. ich wollte meine mp3 playlisten via RSS-Stream auf meine PSP (Playstation Portable) streamen... mit diesem php script, das dies ermöglicht, kann man durch den kompletten PC surfen (C:\ ; D:\ ; E:\ ; ...) gibt es auch ein dateimanager script dass dies kann?

07.11.07, 20:37	#8 (permalink)
oeaben Registriert seit: 08.09.07 Likes: 0	Hi, Mercury ist ein Mailserver! Wenn du beispielsweise Mails per php Script verschicken willst brauchst du einen Mailserver gruß

08.11.07, 01:27	#11 (permalink)
beavisbee Member of Honour Registriert seit: 22.02.07 Likes: 77	okay, für nen normalen privaten Server, wo nur eine Seite drauf läuft, ist fcgi vieleicht nicht unbedingt notwendig, vieleicht (zugegeben) sogar überflüssige Arbeit. (der Hinweis auf fast_cgi ist nur automatisch beim tippen so drin... :-) ) für mich persönlich ist fcgi echt ne feine Sache, weil ich damit jedem vHost seine eigene php.ini geben kann oder sogar verschiedene vHosts mit verschiedenen PHP-Versionen laufen lassen kann genauere Infos: http://www.rootforum.de/wiki/howto/p...php_vs_php-cgi

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
VirtualBox als Xampp Server	_fux_	Network · LAN, WAN, Firewalls	2	30.09.09 14:52
Forum auf server installiert... Unsicher?	kalil1234	Webmaster-Security	4	17.10.07 10:02
mit Bildern bei XAMPP/Apache	.tails	Internet Allgemein	9	14.10.05 19:49
Server wirklich sicher?	Gulliver	(In)security allgemein	3	16.02.04 18:10
apache web-server	e-Bandit	Linux/UNIX	4	26.04.02 14:44

[HaBo]

Apache XAMPP Server wirklich so unsicher?