ABAKUS

supervisior hat geschrieben:
Habt Ihr Euren Server/VPS usw. frei und ohne Schutz im Netz stehen oder tut Ihr aktiv was dagegen?

Interessantes Thema. macht man zuviel sperrt man Nutzer aus.
Der Staff meines VPS rät mir über nginx einen Virtual Host einzurichten. Mal sehen wie das läuft.

Jo, ich weiß was da so passiert.

Ich weiß auch, wie ich mich dagegen schützen könnte. Aber gerade bei dem Thema dieser Wordpress CMS Sicherheitslücken Scans, da mache ich genau nichts, weil das meinen Server einfach mal völlig kalt lässt.

DDoS Protection habe ich aber über die Firewall meines Hosters aktiv. Schlägt aber so gut wie nie an. Damit kriegt man meist erst Probleme, wenn man Inhalte anbietet, die Leute (bzw. Wettbewerber) verärgen.

Ich weiß, man kann viel Zeit damit verbringen, durch logs zu schauen und sich dann über sowas aufzuregen. Ist bloss aber verschwendete Zeit.

Früher habe ich mich oft über diese SSH Brute Force versuche geärgert und dann den SSH auf einen anderen Port gelegt. Aber ist mir mittlerweile zu albern, da ich mir dann immer die Portnummern merken muss und bei jedem ssh/scp aufruf übergeben muss. reingekommen ist auf dem Weg eh noch nie jemand. Ich nutze aber auch kein Linux, seit jahren nur noch auf BSD Server gesetzt

@elmex

Ich will ja keine Panik verbreiten, aber wenn man Deine Zeilen so liest, könnte man daraus mehreres schlussfolgern:

1.) Is mir doch wurscht
2.) Mut zur Lücke
3.) Wird schon nix passieren
4.) Sicherheit? Is doch voll 80er
5.) Sicherheit? Wer braucht denn so was?!
6.) Sicherheit? Was war das gleich noch mal?
7.) Bin 100% sicher. Egal was kommt.
....

btw. DDos ist vermutlich das Unwahrscheinlichste von allem. Wenn Du den Punkt mal erreicht hast, dass jemand einen DDoS Angriff gegen Dich fährt, hast Du mehr als nur 1 Porsche in der Garage stehen. Genauso gut könntest Du auch eine Versicherung abschließen um Deine Badehose gegen Schaden zu versichern wenn Du am Nordpol im Winter zum Baden gehst.

arnego2 hat geschrieben: Interessantes Thema. macht man zuviel sperrt man Nutzer aus.
Der Staff meines VPS rät mir über nginx einen Virtual Host einzurichten. Mal sehen wie das läuft.

Einen Virtual Host auf einem Virtual Private Server anlegen? Hä? Ist das dann die Matrix in der Matrix? Erklär' mal.

Zu viel geht eigentlich nicht, wenn man nicht auch den Webserver abschaltet. Das Passendere wäre wohl eher das Falsche zu machen, um dann Nutzer auszusperren.

Habt Ihr Euren Server/VPS usw. frei und ohne Schutz im Netz stehen oder tut Ihr aktiv was dagegen?

Da kümmert sich der Provider drum. Ich hatte in den vergangenen 15 Jahren nie ein Problem. Daher interessiert mich das Thema so überhaupt nicht.

@supervisior

Keine Angst, Forenäußerungen versetzen mich selten in Panik

Ich betreibe nun mittlerweile über 20 Jahre Webserver. Ich hatte früher auch mal Probleme durch von Hostingkunden installierte Sicherheitslücken (gammlige Scripte). Unter Linux. Daher bin ich davon weg und auf BSD gewechselt. Seit dem keine Probleme mehr.

Daher, du brauchst dir wegen mir keine Sorgen zu machen, alles fein hier.

Und wie gesagt, die automatisierten Scriptkiddy "Attacken" (geen noch nicht mal vorhanden WPs, Joomlas, Drupals und Co.), da ist ignorieren das Beste, weil bei richtig konfiguriertem Server und vernünftigen Passwort Policies passiert da genau gar nichts

Kleiner Tipp noch, es erscheint mir wichtig, jede dabei verwendete Software stets aktuell zu halten.

Na Sorgen mache ich mir aber trotzdem. Was verhindert ein anderes OS, wenn die Schwachstelle gar nicht das OS ist und auch nicht sein kann? Oder anders gefragt, wenn ich lange genug Deinen FTP Account maltretiere, kann egal welches OS nichts dagegen tun. Ich lade Dir einfach über den FTP Account ein Consolen Script hoch und habe Schwuppdiwupp mehr Zugriff auf Deinen Server als was Dir recht sein kann. Wenn der FTP User dann auch noch Root Rechte hat, schaut Dein OS ganz alt aus.

@supervisior

FTP? Gibt es bei mir nicht

Ja und wo wir bei root Rechten sind, genau da ist BSD eben anders als Linux. Abgesehen davon, FTP mit Root Rechten, wer macht denn bitte sowas

Na dann eben SSH? Irgendwie wirst Du Deinen Server ja was hochladen müssen oder trägst Du Deine Daten zu Deinem Hoster?

Also zum hochladen nutze ich scp. Mit ssh kan man nichts hochladen

So und jetzt zurück zum Thema!

Auch für scp wird SSH genutzt, also brauchst Du nicht nur SSH, sondern auch einen Port und auch einen Login dafür. Also hast Du eine potentielle Schwachstelle solange Du dich über einen herkömmlichen Login anmeldest, bzw. diesen nicht deaktivierst. SCP verschlüsselt die zu übertragenden Daten nur und damit schützt nur das Abhören. Das wars dann aber schon. Der Schwachpunkt Login bleibt nach wie vor.

Dass man mit SSH nix hochladen da liegst aber falsch. Man braucht noch nicht mal einen SSH Client, um mittels SSH eine Verbindung zu einem anderen Rechner herstellen zu können und damit lade ich Dir alles hoch, was Du meinst es ginge nicht.

Zurück zum Thema? Sind wird doch!

> Also zum hochladen nutze ich scp. Mit ssh kan man nichts hochladen

Ich glaube nicht, dass seit SSH-2 mit SFTP Subsystem, heute scp noch groß genutzt wird. Der einzige Vorteil ist die Performance. Nachteile sind u.a. fehlende Interaktivität und keine Fortsetzung von abgebrochenen File-Transfers.

supervisior hat geschrieben: Dass man mit SSH nix hochladen da liegst aber falsch. Man braucht noch nicht mal einen SSH Client, um mittels SSH eine Verbindung zu einem anderen Rechner herstellen zu können und damit lade ich Dir alles hoch, was Du meinst es ginge nicht.

Na dann, poste mal den Befehl mit dem du per SSH was hochlädst. Danke!

staticweb hat geschrieben:> Also zum hochladen nutze ich scp. Mit ssh kan man nichts hochladen

Ich glaube nicht, dass seit SSH-2 mit SFTP Subsystem, heute scp noch groß genutzt wird. Der einzige Vorteil ist die Performance. Nachteile sind u.a. fehlende Interaktivität und keine Fortsetzung von abgebrochenen File-Transfers.

SFTP Subsystem = FTP. Unverschlüsseltes FTP zu nutzen, das sollte man vermeiden