Homepage sicher halten?
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
anbindung
angriff
antworten
anwendung
attacke
bereich
besucher
code
datei
frage
halten
inhalt
laufen
rechner
server
sinn
software
url
verbindung
weben
-
Gegen DDoS kannst du dich eigentlich nicht wehren. Ein DDoS-Angriff ist ein Distributed DoS-Angriff, d.h. eine Überflutung deines Servers, die nicht nur von einem Rechner kommt, sondern gleich von 100 oder 1000 auf einmal. Daher kannst du auch mit einer IP-Blacklist nicht viel dagegen unternehmen.
Wogegen du dich schützen kannst, und auch tunlichst schützen solltest, sind vor allem Sicherheitslücken in deiner Anwendung. Das heißt, dass du genau kontrollieren musst, wie mit den vom Nutzer gesendeten Daten umgegangen werden soll.
Die Standard-Sicherheitslücken im Web-Bereich sind sicher SQL-Injection (Einschleusung von ausführbarem SQL-Code in deine Anwendung, wodurch die Datenbank ausgelesen, modifiziert und gelöscht werden kann), XSS = Cross Site Scripting (Einschleusung von HTML-/JavaScript-Code in deine Web-Site, was aber nicht ganz so kritisch ist, wie die SQL-Injection) und auch LFI und RFI (Local File Inclusion bzw. Remote File Inclusion), was auch sehr gefährlich werden kann.
Zudem kann es sein, dass die verwendete Server-Software unsicher ist, beispielsweise durch eine Lücke in PHP oder deiner Server-Anwendung. Dagegen kannst du dich als Hobby-Entwickler allerdings vermutlich sowieso nicht wirklich schützen.
Bei einer Homepage, die aus reinem HTML-Code besteht, die also völlig undynamisch ist, besteht ein viel geringeres Risiko einer Sicherheitslücke, als bei einem PHP-Script bzw. einer dynamischen Anwendung, die auch vom Nutzer eingegebene Daten berücksichtigt.
Du solltest dich also auf jeden Fall über die oben genannten Sicherheitslücken bzw. über Sicherheit im Internet allgemein informieren. -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
mermadalis schrieb:
XSS ist mindestens genauso gefährlich wie SQL-Injection, weil dann per JavaScript 1. Fehler im Browser ausgenutzt werden können um Clients zu infizieren und 2. Session-Cookies abgefangen werden können und somit möglicherweise Accounts an den Angreifer übertragen werden können (auch wenn diese nur eine kurze Gültigkeit haben, weil dann das Cookie abläuft).
XSS = Cross Site Scripting (Einschleusung von HTML-/JavaScript-Code in deine Web-Site, was aber nicht ganz so kritisch ist, wie die SQL-Injection)... -
Backups sind sinnvoll, um die Inhalte zu schützen.
Einige Software bieten auch Addons, mit denen man die Seite schützen kann. Oftmals aber nur für IP-Sperren und extra Passwörter für Adminstrationsbereich o.ä.
Ganz schützen werden sie dich nicht.
Klar, wie schon genannt, sollten sicherer Passwörter und anderes vorhanden sein! -
keeping-control schrieb:
Backups sind sinnvoll, um die Inhalte zu schützen.
Inhalte werden durch Backups nicht geschützt sondern nur wiederherstellbar gesichert. Mit der Frage des TE hat das aber wenig zu tun.
Einige Software bieten auch Addons, mit denen man die Seite schützen kann. Oftmals aber nur für IP-Sperren und extra Passwörter für Adminstrationsbereich o.ä.
Wo ist hier der Ansatz, der dem TE hilft? "Einige Software" ist so unspezifisch, daß der Hinweis überflüssig ist
Ganz schützen werden sie dich nicht.
Warum dann erwähnen?
Klar, wie schon genannt, sollten sicherer Passwörter und anderes vorhanden sein!
Das ist grundlegende Voraussetzung und, wie Du selbst sagst, bereits genannt.
-
Wie schütze ich meine Webseite?
Wir. beim NSR schützen unsere Website auf verschiedene Arten.
1. Norton Save Web
2. Datenbank-Backups täglich!!
3. wöchentliches Website-Backup
4. externes Scannen der Website z.b. nach Dingen, welche nicht zur Website gehören
5. wöchentliches ändern des FTP-Passworts sowie ändern des Datenbankpasswortes
Zum externen scannen unserer Website inklusive aller Subdomains benutze ich ein Tool mit Namen Search&Replace2
Dieser Textscanner ist in der Lage, ganze Verzeichnisbäume, nach einem z.B. für Blackhole-Exploits typischen Code zu durchsuchen.
Wichtig ist es auch, das man seinen Browsern sagt, das grundsätzlich kein Cache vorhanden ist, oder diesen, am besten täglich leert.
Hierfür nutze ich CCleaner.
Dann sollte man, auch wenn viele keinen Sinn darin sehen mögen, seine Website bei Google-Webmaster-Tools registrieren, denn die scannen die HP nach allerlei schädlicher Software oder Injectionen.
Manchmal ist es sicherlich gut, sein CMS auf den aktuellen Stand zu bringen, aber man kann auch Sicherheitssysteme nutzen, um das einklinken per Proxy extrem zu erschweren, denn fast alle DDos-Attacken laufen über solche. Gute Proxy-Sec-Progs updaten regelmäßig ihr Proxy-Blacklisten, die man auch selber bestücken kann.
Ansonsten...
Bleibt eigentlich nur zu hoffen, das man seinen eigenen PC sauber hält, denn der meiste "Rotz" kommt leider über irgendwelche Tools.
Blackhole-Exploits erkennt man übrigends sehr einfach : echo(gzinflate(base64_decode(*);
Alles was in deiser Zeile steht, entfernen und schon ist man die Zau wieder los :)
Allerdings muss man das in jeder einzelnen Datei machen.
Anderer base_64 Code, kann solchen Exploits Tor und Tür öffnen, des wegen macht es sinn, diesen Zu Encodieren und die Encodierte Version einzutragen und das andere auszukommentieren.
In diesem Sinne
Ralf
-
Wichtig wie die anderen sagten sind wirklich tägliche Backup. Erst letztens hatte ich einen Hackerangriff auf einer Seite. Bei den CMS Sytemen wie Wordpress sind immer die ganzen Plugin mögliche Angreifziele. Ein Hacker hat sich bei mir eingenistet gehabt und alles zerstört. Zum Glück hatte ich eine aktuelle Sicherung.
-
Vor DDoS Attacken kann man sich sehrwohl schützen wenn man mehrere tausend Euros im Monat für Hardware, Anbindung und Traffic zur Verfügung stehen hat.
Die dicksten DDoS Attacken welche ich bisher live mitverfolgen konnten gingen mit rund 10.000 Bots auf eine meiner Maschinen los und glaub mir, da ist der Switchport dicht außer du kannst dir eine Anbindung im 30-60Gbit/s Bereich leisten (Kostenpunkt monatlich rund 10.000€, dazu kommt dann noch der anfallende Traffic und die notwendige Hardware, dann sprechen wir schon von deutlich mehr)
Es gibt jedoch auch Anbieter (meist unseriös) welche sog. DDoS Proxies auf geclusterten Maschinen mit Nginx als Reverse Proxy einsetzen, dies bewegt sich dann auch gerne schonmal im 1.000€ Bereich.
Vor was du dich als kleiner Webpagebetreiber schützen kannst sind unsichere Scripte, dies ist aber auch nur durch kontinuierliches Updaten möglich.
PS: Es gibt Webserver welche Attacken wie SQL Injections oder XSS Attacken abfangen können, möglich ist dies z.B. mit dem Hiawatha Webserver oder Naxsi (Webapp Firewall für Nginx)
Beitrag zuletzt geändert: 6.6.2012 6:06:44 von virtual2 -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
