skip to content

Archiv

Sicherheitslücken beim Hoster

Der Hoster ist NIE schuld! Aber nie, ganz sicher nie!

Warum sollte jemand einzelne Geldbörsen klauen, wenn er locker die ganze Bank ausrauben kann?: Hacker gehen immer mehr dazu über, Sicherheitslücken beim Hoster selbst auszunutzen.

Vor einiger Zeit wurde eine frisch eingerichtete Website gehackt - noch BEVOR sie online war.

Das erste, was der Hoster machte, war mit dem Finger auf mich zu zeigen und zu behaupten:
Das verwendete CMS ist sehr unsicher, googeln Sie mal nach "WebsiteBaker gehackt"!!!
Ja: 4000 Ergebnisse, sagt Google. Gegenprobe: "Joomla gehackt": 71.500 Ergebnisse, "wordpress gehackt": 225.000 Ergebnisse. Und - was sagt das? Nichts. Tatsächlich kam der Angreifer ganz regulär über FTP rein - mit welchen Userdaten wollte der Hoster nicht verraten...

Klartext: Die Sicherheitslücke war beim Hoster selbst. Und ein Hoster gibt das niemals zu, sondern schiebt die Schuld immer auf den Kunden - dem kann man ja viel erzählen.

Worauf achten?

Viele "Hoster" sind eigentlich nur Reseller, bei den Großen wie 1&1 oder Hetzner. Sie haben sich einen Server gemietet, ihn konfiguriert und schon kanns ans Geld verdienen gehen. Wie gut und vor allem wie sicher der Server konfiguriert ist, steht auf einem anderen Blatt. Ich habe zb die Erfahrung gemacht, dass gerade diejenigen Hoster mit SafeMode=ON die unsichersten sind; hier fehlt es offensichtlich an Erfahrung. Ebenfalls achten sollte man darauf, wieviele Kunden ein Hoster hat. Finger weg von Hobby-Hostern.

Gelegentlich mal "upgraden"

Viele Hoster haben ihrer Server einmal konfiguriert, packen dann Kunden rauf was geht und rühren das ganze Werkel nie wieder an. Schließlich läuft es ja und ein Upgrade von PHP4 auf PHP5 kann ganz schön für Verstimmung sorgen, wenn plötzlich Fehlermeldungen auftauchen. Also kommen nur Neukunden auf die neueren Server, den "Altbestand" rettet man halt so irgendwie in die Pension.

Einem guten Hoster ist es gar nicht mal so unrecht, wenn ein Kunde nach einigen Jahren von sich aus auf einen neueren Server wechseln will - und dabei auch selbst dafür Sorge trägt, dass seine Skripte dann auch funktionieren. Im Gegenteil: Häufig wird man mit deutlich mehr Webspace und mehr Möglichkeiten belohnt, mitunter wird es sogar billiger!

Es kann sich also durchaus mal lohnen, die Preislisten seines eigenen Hosters anzusehen, oder auch "nur mal so" nachzufragen, ob denn ein Upgrade auf eine höhere PHP-Version möglich wäre.
Das kann man dann auch gleich wunderbar damit verbinden, die eigene Website auf den neuesten Stand zu bringen.

Back

Kommentare:

28.07.2012

J. Brista

Gut und schön Dein Artikel, aber wie findet man die richtigen Provider? Woher weiß man wieviele Kunden der Hoster hat und ob er "nur" ein Hobbyhoster ist?
Nicht so einfach, hast Du einen Tipp, wenn man nicht unbedingt zu 1&1 oder zu Hetzner und Strato möchte?
J. Brista

12.11.2012

Thomas

der Artikel ist in dem Fall ganz OK. Nicht gut ist, dass die Kommentare eher einer Werbung für einen Hoster ähneln.
wenn es darum geht, könnte ich hier auch den Link zu meinem Arbeitgeber setzen, bei dem ich im Support bin. Tue ich aber nicht ;-)

Wichtiger ist, und darauf geht der Artikel ein, dass man sich beim Hoster nach den Einstellungen erkundigen soll/muss.
UND (was viel wichtiger ist): Viele Accounts werden gehackt, weil Kunden zu leichtsinnig mit den Zugangsdaten umgehen. "Passwort speichern" klingt gut für meine Faulheit, ist aber eine Einladung für jeden Hacker.
Kleines Beispiel: Schaut mal in den Dateien eures FTP-Programmes, wie dort die Zugangsdaten des Servermangers abgelegt sind. Es gibt diverse Programme, die die Zugangsdaten im Klartext ablegen.
Und root-Kits sind heutzutage nicht selten, genauso wie Keylogger oder Sniffer.
Aus der Erfahrung unserer Firma kann ich bestätigen: In den meisten Fällen finden Manipulationen über FTP statt, und das mit den Zugangsdaten des Kunden.
Auch sollte man überlegen, ob 123abc123 und derartige Passwörter wirklich sicher sind. Oder Passwörter, die sich aus dem Namen ableiten.

Noch was: Man sollte den Hoster nicht bitten, die Einstellung abc oder xyz zu ändern, nur weil ein Addon dies verlangt. Lieber mal auf eine Erweiterung verzichten, als sich selbst Lücken in den Account zu reissen.

12.11.2012

Chio

Danke für diesen sehr fachkundigen Kommentar.

In der gelebten Praxis ist ein Leben mit vernagelten Türen halt schwer, die guten Vorsätze sind bald vergessen.
Trotzdem sollte man gelegentlich mal dran denken, dass ein CMS nicht einfach so mal alle Sicherheitsfragen lösen kann, sondern dass das CMS nur eines von vielen Gliedern der Kette ist.

Und die Spammer hab ich entfernt.

Kommentar

Name:

E-Mail (required, not public):

Webseite:

Kommentar :

Up
K