Server Gehackt

[Cheesefish]

Hallo Zusammen

Bei mir im Wohnzimmer steht n PC mit Server Betriebssystem 8GB RAM und Vmware Server.

Da läuft hauptsächlich ein Mediaserver sowie ein paar Backup Tasks drauf sowie ein paar Virtualmachines zu weiterbildungszwecken.

Auf einer VM ist allerdings noch ein Windows Home Server installiert für den Remotezugriff aus der Ferne. Desweiteren läuft auf dem Ding auch noch ein XAMPP um Websiten Temporär ins Netz zu stellen.

Da wollt ich doch letztens den Filezilla fürn Kollegen aufm XAMPP starten... was seh ich Port 21 wird von einer network.exe im Windows Verzeichnis verwendet.
Kaum probier ich ne FTP Verbindung aufzubauen steht da auch schon H4XXD by bla bla.
Im endeffekt is nix passiert da der Port 21 aufm Router nicht weitergeleitet wird.

Aber Wenn jemand auf meinem PC exe Dateien einschläusen kann und diese dann auch noch ausführen macht mir das schon irgendwie sorgen. XAMPP war auf der Version 1.68 und der Sicherheitscheck übers Webgui durchgeführt.

Mir war eigntlich nicht bewuss was für Sicherheitsrisiken ich da eingehe.
Am wichtigsten ist mir eigentlich, wie kriegt da irgendwer ne Datei auf meinen PC und kann diese dann auch noch ausführen?
Passwort ist 8 stellig mit zahlen und Buchstaben sowie gross und kleinschreibung, daran sollts also eigntlich nicht liegen.

Vielen Dank für eure Antworten

 

[bitmuncher]

Ein Ordner, der nicht gegen das Ausführen von Dateien geschützt ist, als temporärer Ordner und eine Lücke in einer auf dem Xampp laufenden Webapp (z.B. phpmyadmin u.ä. sind bekannt dafür), und schon kann man auf der Kiste ausführen was man will.

Ich verweise da auch immer gern an die Homepage von Xampp:

XAMPP ist dadurch nicht als sicher einzustufen und ist somit nicht sofort für den Produktions-Betrieb geeignet.

Auch wenn es im folgenden heisst, dass man ihn mit ein paar Handgriffen sicher machen kann, sollte jeder, der auch nur geringfügig Ahnung von Apache hat, wissen, dass man Apache niemals mit wenigen Handgriffen sicher machen kann, wenn er dynamische Websites ausliefern, also Skripte ausführen soll. Da bedarf es nämlich schon bei der Einrichtung des VHosts "einiger weniger Handgriffe".

Kurzum: Schau in die access.log vom Xampp. Da wird sich, sofern der Angreifer seine Spuren nicht verwischen konnte, sicherlich irgendwo ein Eintrag finden, wo ftp-Befehle o.ä. als Parameter übergeben wurden.

Und für die Zukunft: XAMPP hat im Internet nichts verloren, wenn du kein Apache-Profi bist. Und wenn deine Kollegen zukünftig doch unbedingt auf deinen Xampp zugreifen sollen, dann stelle ihnen dafür einen VPN-Zugang zur Verfügung. Ausserdem sollte man sowohl Webserver als auch die darauf laufenden Webapplikationen wie phpmyadmin u.ä. immer auf dem aktuellsten Stand halten. Dass heisst also möglichst zeitnah Updates aufspielen. Die Entwickler bringen die Updates ja nicht nur aus Spass raus, weil sie gerade mal Lust hatten ein paar Zeilen unnötigen Code einzufügen. Aktuell ist Xampp 1.7.2 für Windows. Dir fehlen also einige Updates. Schaust du dann mal auf http://www.phpmyadmin.net/home_page/security/ wirst du sehen wieviele Sicherheitslücken du also allein darin schon hast.

 

[d0ne]

Hallo,

da habe ich auch gleich mal eine Frage zu:
Wie kann ich denn xampp updaten!? Ich habe bei mir 1.7.2 installiert aber Secunia meckert darüber, das Apache nicht aktuell ist. Also habe ich Apache heruntergeladen und installiert - aber das hat nicht so funktioniert, wie ich mir das gedacht habe.

Oder ist es, da ich Xampp nur zum programmieren benutze (von außen also keiner Zugriff hat) nicht so wichtig, immer 100 % aller Updates zu haben!?

mfg
d0ne

 

[jemo.]

Wenn wirklich gewährleistet ist, dass es keinen Zugriff von außen gibt, dann kann man die Updates auch außen vor lassen. XAMPP mit Zugriff vom WAN aus ist eh nicht so empfehlenswert.

 

[-=Draven=-]

Apache Stand-alone updatet nicht die xampp Apache Version, dafür musst du schon Xampp komplett updaten!

 

[Elderan]

Hier mal die zwei wesentlichsten Sicherheitsfehler die du gemacht hast:
1. Du hast keine Anhnung von der Materie (wie man einen Server absichert) und hast einen vom I-Net erreichbaren Server aufgesetzt.
2. Du hast XAMPP auf diesem Server genutzt (resultierend durch den 1. Fehler). XAMPP wurde zum Entwickeln von Web-Apps konfiguriert, dementsprechend ist XAMPP so offen wie ein Scheunentor und bieten einem Angreife ne gute Angriffsfläche. XAMPP absichern zu wollen macht in meinen Augen keinen Sinn. lieber Apache, MySQL etc. normal installieren, da die Standardconfigs deutlich restriktiver sind als die von XAMPP, aber dennoch noch oft noch zu unsicher.


Dann was ich vermute:
3. Mangelnde Rechtevergabe. Wie der Name Windows Home Server nahelegt, gehe ich mal davon aus, dass dieser nicht dafür entwickelt wurde, einen Internetdienst anzubieten.
Desweiteren gehe ich davon aus, dass XAMPP wohl als Administrator gestartet wird, und nicht so wie es sehr sehr stark zu empfehlen ist, per Account der praktisch gar keine Rechte hat. Wenn so jemand das Scheunentor angreift, kann dieser gleich das gesamte System übernehmen.


Fazit:
Lass es sein. Biete keinen permanent erreichbaren Webdienst an. Ohne das notwendige Wissen wird das je nach Komplexität des Serverdienstes (ein SSH Server aufzusetzen sollte nicht ganz so schwierig sein, wenn man die Rechte richtig gesetzt hat und alls immer schön aktuell hält) nichts und Sicherheitslücken sind garantiert.
Außerdem macht ein eigener Server (fürs Web) oftmals viel zu viel Arbeit, da hole ich mir lieber den Webspace von irgendeinem Anbieter und gebe somit die Verantwortung an Personen ab, die sich damit hoffentlich deutlich besser auskennen.

 

[Cheesefish]

Also der Windows Home Server ist durchaus dafür gedacht das der im Internet steht.
Microsoft hat da n Tool um den Router automatisch zu konfigurieren.

Ich denke der Windows Home Server sollte aber schon sicher sein, Updates sind ja aktuell.

Aber in diesem Falle gibts halt noch ne VM mit nem Apache und nem Absicherungs Tutorial^^

 

[.doc]

Die Frage ist doch wohl eher, ob der Webserver wirklich nach aussen lauschen muss. Du verwendest deinen Server doch wohl nur @home, warum muss dann jeder von draussen darauf zugreiffen? Wenn dein Kumpel an deine Daten will kannst du den FTP-Server immernoch anschmeissen oder die Regeln der Firewall für ihn ändern (oder er ändert sie selbst via PortKnocking).
Warum du nun eine VM starten willst verstehe ich auch nicht. Apache gibt es auch für Windows, zur Not nimmst du den IIS, der dürfte für deine Zwecke eben so ausreichend sein. Oder du bleibst bei XAMPP, änderst die Konfigurationsdateien und lässt lediglich den FTP-Server, wenn er denn läuft, nach aussen lauschen.

 

[Chromatin]

Warum du nun eine VM starten willst verstehe ich auch nicht. Apache gibt es auch für Windows, zur Not nimmst du den IIS, der dürfte für deine Zwecke eben so ausreichend sein.

Wenn du schon einen homeserver hast, bleib lieber beim IIS. Der kann alles was du brauchst und ist ebenso sicher. Zumindest sicherer als ein schlecht konfiguriertes XAMP in einer VMWare.

Installier die Maschine neu und lass die Finger von diesem XAMP Krempel, wenn du da nicht fit bist.
Nutze den IIS und kuemmer dich brav um deine Updates.

 

[Mechanius]

Offtopic/2

kann man mit VM nicht auch Netzwerke virtualisieren so dass der Xampp gar nicht von extern erreichbar ist?

 

[.doc]

Original von Mechanius
Offtopic/2

kann man mit VM nicht auch Netzwerke virtualisieren so dass der Xampp gar nicht von extern erreichbar ist?

Die Frage ist, ob der komplette Host von Aussen erreichbar sein muss. Wenn nicht, warum sollte man dieses Problem also auf virtuelle Maschinen "abschieben"?