# 1und1 webserver und sicherheit



## mussoptip (14. Oktober 2003)

tag zusammen!
ich hoffe ich bin hier im richtigen forum geladet...

habe in letzter zeit einige probleme mit hackern, die ständig
das ftp passwort unseres 1&1 webservers knacken und an der seite
rumspielen. bisher ist nichts gravierendes passiert, die index.html
wurde ausgetauscht und die seite ist auf irgendwelchen listen
erschienen, auf denen sich die jungs mit ihren "heldentaten" brüsten.

beim letzten mal hat der spassvogel jedoch unseren newsletter, die
guestbook-adminoberfläche und unser forum zerstört.
ich konnte alles wieder hinbiegen, nur das forum ist futsch.

ich benutze ausschliesslich "gute" passwörter, also nichts was man
in irgendwelchen wortlisten findet. sonderzeichen, zahlen, gross- und
kleinschreibung. hat alles nichts gebracht.

ich ändere jetzt jede woche das ftp-passwort.
bisher ist nix mehr passiert, aber ich warte nur drauf.

gibt es eine möglichkeit, bei und 1&1 einen ftp-zugang einzurichten,
mit dem man bespielsweise nur in bestimmte verzeichnisse reinkommt?
so könnte ich den rest, der nicht ständig gepflegt werden muss einfach schützen.

oder kann man einfach den zugang nur für einen bestimmten ip-bereich zulassen (die kerle scheinen aus brasilien oder so zu sein)?

macht es sinn, das passwort ständig zu ändern?
ich denke mal, dass die das per bruteforce gemacht haben, sowas bracuht ja seine zeit. aber ein glücktreffer ist dann trotzdem noch drin...

das ganze ist sehr schade, weil wir uns kulturell betätigen und jungen leuten parties und konzerte bieten. ist schon *********, wenn einer einem die ganze arbeit zerstört...

also ich würde mich über ein paar tips freuen, vielleicht kennt sich ja jemand besser mit 1&1 aus und weiss rat...



,
mussoptip.pitpossum


----------



## Neurodeamon (14. Oktober 2003)

Was bezeichnes Du als "gutes" Passwort? Ist der Server frisch wie er ist von 1&1? Hast Du nichts daran gemacht, z. B. unnötige Dienste deaktiviert? Hast Du die Logdateien? Darin steht manchmal mehr Information über die Vorgehensweise der "Hacker", oder besser "Defacer". Hast Du SSH1 auf dem Server? Telnet? Welcher FTP-Server?

Man kann einige FTP-Server so einstellen, das sie eine bestimmte Anzahl von falschen Zugangsdaten zulassen und dann dicht machen. Und die Zeitspanne zwischen der erlaubten Eingabe der Zugangsdaten läßt sich auch strecken, zum Beispiel auf 6 Zugriffe pro Minute. Damit krackst Du kein Passwort mehr in kurzer Zeit.

Es ist auch sehr gut möglich, das die kein Passwort rausfinden müssen, wenn eine Sicherheitslücke im System ist, die kann man immer wieder verwenden, egal welche Passworte Du einstellst! Solange bis das System aktualisiert wird.

Ich vermute Du verwendest Suse - steig um auf Debian. Es gibt eine gute Anlaufstelle für Rootie-Anfänger: http://www.debianhowto.de / http://www.rootforum.de


----------



## mussoptip (16. Oktober 2003)

erstmal danke für deine antwort.

ABER hmmm, das hab ich mir gedacht:
hab ich mich wohl falsch ausgerückt.
wir haben keinen "eigenen" server, sondern ein paket bei 1&1 webhosting.
daher auch mein "ich hoffe ich bin hier richtig".

meines wissens nach ist die einzige möglichkeit sich da einzuloggen über ftp, oder den shell-zugang, die haben aber immer automatisch die selbe benutzername/passwort kombination.

ich denke die einzige möglich da reinzukommen ist eben dieses pw zu hacken und sich per ftp einzuloggen.

ich habe auch leider nicht die möglichkeit da an irgendwas rumzubasteln wie bei nem eigenen server.

vielleicht hat ja jemand anderes hier erfahrung mit sowas und kann mir ein paar tips geben. bin eh nicht so der informatik-student ;-) ... 

wenn das hier total daneben ist, dann verschieb mal ins richtige forum, lieber admin. ich wüsste aber nicht wo ich das sonst hinposten soll.


----------



## Christian Fein (16. Oktober 2003)

Wie meinst du das "Kein Eigenener Server"
Also einen root Server bei 1&1 Gemietet oder nur Webhostingpacket?


Welchen FTP Server hast du und hast du ihn gepatcht?
Wenn proFTP gehe ich davon aus das du deinen Server ja vor maximum 2 Wochen gepatched hast.
http://www.heise.de/newsticker/resu.../dab-24.09.03-000/default.shtml&words=ProFTPD

Denn als Server Admin weiss mann eigentlich immer wo es was zu patchen gibt.

Hast du deinen ssh server auch schon gepatchet?

Als Hacker würde ich keinesfalls versuchen den mühsamenweg des Passwort  "Knackens" zu nehmen, sondern den der die versäumnisse des Administrators ausnutzten: Sprich ungepatchte Sicherheitslücken 

Solltest jeden Tag:
Seiten wie:
http://xforce.iss.net/xforce/alerts/
http://www.heise.de/security/
lesen


----------



## Arne Buchwald (16. Oktober 2003)

Und Bugtraq abbonnieren (aber vorsicht: Nichts für kleine Mailboxen )


----------



## Neurodeamon (16. Oktober 2003)

Bei einem Root-Server, wärst Du selbst dafür verantwortlich. Wenn es ein Webpack mit Shellzugang bei 1&1 ist, dann würde ich denen  mal in den A..... llerwertesten treten. Da haben die sich drum zu kümmern. Ein "gutes Passwort" sollte mindestens 12 Zeichen haben, GROSS und kleinschreibung, sowie Zahlen enthalten und zwar durcheinander.

"Pass1234" ist schlecht
"B4xdjKp9Xm0a" ist super 

Je nach Einstellung sind sogar Sonderzeichen erlaubt oder das Passwort wesentlich länger zu gestalten.

"B4x&jKp9C§0a" ist fies

Da ist Brute-Force Passwort "Hacken" sowieso nicht mehr drin.
Bei meinem Server verwende ich durchgegehend 32 Zeichen Passworte.
evtl. anfällige Systemuser werden ge"chroot"ed 
Man kann eine Menge machen.

Wenn man anders (z. B. durch Exploits/BufferOverflows/etc.) Zugriff auf Euren Webspace bekommt, dann hat 1&1 sich darum zu kümmern. Mach mal ein wenig Druck! Naja.. oder frag lieber erst höflich an =)


----------



## mussoptip (17. Oktober 2003)

jo, so sehen meine passwörter auch aus.
allerdings sind maximal 8 zeichen erlaubt.
warum auch immer.

ich denke mal, dass es trotzdem ziemlich lange dauert
so ein pw zu knacken. daher müssen die schon einen 
anderen weg gefunden haben.

was heisst ssh zugang oder ftp "gepatcht"?
ich kann, da es sich um ein webhosting paket handelt,
überhaupt nichts machen ausser mein pw ändern.
oder doch?

eigentlich sollte sich 1&1 da ja schon drum kümmern, 
immerhin bezahlen wir nicht zu knapp dafür.
werde wohl mal da nachfragen, was man tun kann.

mussoptip.pitpossum


----------



## Arne Buchwald (17. Oktober 2003)

> _Original geschrieben von mussoptip _
> *
> was heisst ssh zugang oder ftp "gepatcht"?
> ich kann, da es sich um ein webhosting paket handelt,
> ...


Ähhh, wenn es sich um ein Webhosting-Paket handelt und 1&1 für die Serverkonfiguration+Sicherheit verantwortlich ist, solltest du die Heinies mal _deutlicher_ darauf hinweisen.


----------



## won_gak (17. Oktober 2003)

Ach, ich weiß gar nicht was ihr habt. Diese armen Leute müssen doch immer hart an der Grenze kalkulieren. Dann spart man eben an der Sicherheit. Es liegen sowieso keine wichtigen Daten auf dem Webspace. 
Jetzt mal erhlich: was ist am teuersten? Fähige Mitarbeiter.


----------



## Christian Fein (17. Oktober 2003)

@mussoptip:

Ja ich dachte du hast einen 1&1 Root server. In dem Fall hast du recht. Schick mal eine Bitterböse Email an 1&1 Support zu Händen Dominik Haubrich


----------



## won_gak (17. Oktober 2003)

@Christian Fein: LOL. Schön...


----------



## Arne Buchwald (17. Oktober 2003)

> _Original geschrieben von Christian Fein _
> *@mussoptip:
> 
> Ja ich dachte du hast einen 1&1 Root server. In dem Fall hast du recht. Schick mal eine Bitterböse Email an 1&1 Support zu Händen Dominik Haubrich  *


*ROFL*


----------

