[Taxidriver05]

Zitat

Naja, ist ja "nur" mein Webspace, nicht mein Server. Hätte ich jetzt mehr Wert auf Sicherheit legen sollen oder mein Hoster?

Grundsätzlich Du.
Da Du für die Inhalte verantwortlich bist.

Zitat

ch werde dann mit der Powershell die .htaccess kopieren müssen um nachzugucken. Der Datei Explorer zeigt keine versteckten Dateien an (per FTP)

Dann lad sie dir vom Server und öffne sie mit dem normalen Texteditor...
Meine Frage hast du aber noch nicht beantwortet...

[Taxidriver05]

Zitat (ITX-Fan: 04.08.2010, 23:21)

Was mich nur einmal informativ interessieren würde ist, ob man nicht dein Passwort und deinen Nutzernamen für einen Zugang hätte herausfinden müssen.

Für sowas gibt es Crawler...

Oder man versucht es per Brute-Force...

[Taxidriver05]

Zitat (ITX-Fan: 05.08.2010, 00:32)

Wie sollte man via Webcrawler an die Login-Daten kommen?

Brute-Force ist klar, doch meiner Meinung nach ineffizient, wenn man ein starkes PW hat und multible Fail-Logins für eine IP blockiert und das am besten gleich für 24h.

Naja...
Die Frage ist halt nur, ob das jeder auch so umsetzt...

[Taxidriver05]

Naja...

In diesem Fall hat man ja gesehen...
Man braucht nur ein Sicherheitsleck zu haben.
Sei es nun hier das Upload-Tool (was ich bezweifle, da die datei ins Root-Directory ging) oder ein falsch konfigurierter FTP-Zugang (worauf ich eher tippe).
Man braucht nur die .htaccess zu manipulieren und auf das Skript "lokal" auf dem Server umleiten und schon sind der Virenschleuder nach außen alle Türen geöffnet.

[Tienchen]

Eine .htaccess ist kein Schutz vor irgendetwas. Es wäre dasselbe, wenn du einer .zip Datei auf deinem Rechner ein Passwort gibst und meinst, niemand kommt an die Datei heran, obwohl dein Computer keinerlei Schutz hat.
Eine .htaccess bietet lediglich gewisse Möglichkeiten - aber als Sicherheit würde ich das nicht bezeichnen.
Das große Problem sind nämlich die Server an sich. Wird der Server gehackt nützt das tollste .htaccess Passwort nichts, der Hacker löscht die Datei einfach und gut ist - ebenso mit FTP Zugang.

Erster Schutz für einen sicheren Webspace: Keine Billigangebote aufschwatzen lassen. Um rumprobieren zu wollen gibt's XAMPP o.ä. Wenn der Hoster sagt "unsere Server sind sicher, wir haben safe-mode=on" gleich mal meiden, weil der hat keine Ahnung. Wenn man einen eigenen Root-Server hat... Tja, dann sollte man wissen, was man tut.

Zweiter Schutz: Sichere Passwörter, getrennte Datenbanken, nirgends jemand, den man nicht 100%ig vertraut Daten geben.

Dritter Schutz: Nicht den Webspace mit Zeug füttern, sondern lieber weniger Systeme (CMS, Forum, ...) nehmen. Immer dran denken: Je mehr Features, desto mehr Sicherheitslücken.

[Taxidriver05]

Zitat

Da war nur was in directory und sub und in sub ist das Upload-Tool gewesen. Es ist also eine Verzeichnisstufe höher gekommen.

Okay...
Auf welcher Verzeichnisebene das Skript reingekommen ist, ist am Ende irrelevant.
Fakt ist, DASS es reingekommen ist. demzufolge müssen irgendwo die Verzeichnisrechte nicht gestimmt haben.

Zitat

Eine .htaccess bietet lediglich gewisse Möglichkeiten - aber als Sicherheit würde ich das nicht bezeichnen.
Das große Problem sind nämlich die Server an sich. Wird der Server gehackt nützt das tollste .htaccess Passwort nichts, der Hacker löscht die Datei einfach und gut ist - ebenso mit FTP Zugang.

Sehe ich nach eigenen Erfahrungen auch so.

Zitat

Zweiter Schutz: Sichere Passwörter, getrennte Datenbanken, nirgends jemand, den man nicht 100%ig vertraut Daten geben.

Mache ich seit jeher immer so...

Zitat

Dritter Schutz: Nicht den Webspace mit Zeug füttern, sondern lieber weniger Systeme (CMS, Forum, ...) nehmen. Immer dran denken: Je mehr Features, desto mehr Sicherheitslücken.

Aus diesem Grund arbeite ich nicht mehr mit CMS, sondern mit komplett selbst gecodeten Seiten. Dies ist zwar am Ende für mich ein Mehraufwand, allerdings verschafft mir das etwas mehr Sicherheit, da es solche Hacker-Scripte in aller Regel auf bestimmte CMS abgesehen haben.

[bluescorp]

Zitat (Taxidriver05: 05.08.2010, 12:45)

Aus diesem Grund arbeite ich nicht mehr mit CMS, sondern mit komplett selbst gecodeten Seiten. Dies ist zwar am Ende für mich ein Mehraufwand, allerdings verschafft mir das etwas mehr Sicherheit, da es solche Hacker-Scripte in aller Regel auf bestimmte CMS abgesehen haben.

Bei mir genauso. Wenn ich mir die ganzen Exploids für Joomla anschau wird mir schlecht.

Gerade mal Wordpress verwende ich für kleine Projekte aber da auch so gut wie es geht ohne Plugins (oder selbstprogrammierte)

[tavoc]

Zitat (Taxidriver05: 05.08.2010, 12:45)

...
Aus diesem Grund arbeite ich nicht mehr mit CMS, sondern mit komplett selbst gecodeten Seiten. Dies ist zwar am Ende für mich ein Mehraufwand, allerdings verschafft mir das etwas mehr Sicherheit, da es solche Hacker-Scripte in aller Regel auf bestimmte CMS abgesehen haben.

Und da hast du alle Schwachstellen beseitigt?
XSS, CSRF, SQL Injection uvm.?

Vorteil bei großen Projekten ist, das viele Entwickler draufschauen und somit viele Aspekte berücksichtigen können, sofern ein vernünftiger Software Entwicklungsprozess eingehalten wird, z.b. SDL. Als Entwickler, Designer und Qualitätsmanager in einem kann man niemals alle Aspekte berücksichtigen.
Das heisst jetzt nicht, das Joomla gut ist, nur das ich bei selbstgestrickten Sachen auch ganz schnell was finde. Du es nur nicht mitbekommst.

Ist dann auch nicht viel anstrengender als für ein bekanntest CMS. XSS lässt sich z.b. recht einfach testen...

[Taxidriver05]

Zitat (tavoc: 06.08.2010, 11:10)

Und da hast du alle Schwachstellen beseitigt?
XSS, CSRF, SQL Injection uvm.?

Vorteil bei großen Projekten ist, das viele Entwickler draufschauen und somit viele Aspekte berücksichtigen können, sofern ein vernünftiger Software Entwicklungsprozess eingehalten wird, z.b. SDL. Als Entwickler, Designer und Qualitätsmanager in einem kann man niemals alle Aspekte berücksichtigen.
Das heisst jetzt nicht, das Joomla gut ist, nur das ich bei selbstgestrickten Sachen auch ganz schnell was finde. Du es nur nicht mitbekommst.

Ist dann auch nicht viel anstrengender als für ein bekanntest CMS. XSS lässt sich z.b. recht einfach testen...

Sicherlich lassen sich nicht alle Schwachstellen beseitigen, wenn nur ein einziger Entwickler an dem Code schreibt. Und auch "selbstgestrickter" Code kann angegriffen werden. Ohne Frage. Allerdings ist da dann doch das Risiko etwas minimiert. Denn in der Regel werden solche Angriffe systematisch gefahren und haben es meist auf bekannte CMS abgesehen. (Außer es ist ein gezielter Angriff auf eine einzelne Seite.)