Strato SiteGuard

Aktuell arbeiten wir noch im Hintergrund an der Foren-Struktur, daher kann es vorkommen das noch nicht alles zu 100% passt. Sowohl die Foren-Bereiche, Labels, Berechtigungen, Icons und das verschieben der Themen in die entsprechende Bereiche wird noch alles durchgeführt, sobald das abgeschlossen ist entfernen wir diesen Hinweis auch.

    [h=1][size=12]Mal angenommen, jemand hat eine Seite bei Strato.[/SIZE][/h]Schaut man sich die Seite dann mal hiermit an:

    http://sectio-aurea.org/2014/07/dateir…rum-eigentlich/

    bekommt man das Grausen.

    Aber es gibt ja den SiteGuard (Verzeichnisschutz), um die Präsenz zu verriegeln.

    Oder doch nicht?

    http://forum.golem.de/read.php?20537,1095939,1096535
    http://www.modified-shop.org/forum/index.php?topic=26429.0

    Wie geht also dieser Jemand mit der Problematik Sicherheit bei Strato richtig um?

    • Gerade eben
    • Anzeige

    Hallo!

    Wenn du gerade an deiner Website arbeitest oder dein aktuelles Hosting überdenkst: Wir betreiben mit NetzLiving eine Hosting-Plattform, die speziell auf Performance, Sicherheit und einfache Verwaltung ausgelegt ist.

    • ✔️ Schnelle Ladezeiten (optimiert für WordPress & Co.)
    • ✔️ Deutsche Server & DSGVO-konform
    • ✔️ Persönlicher Support (kein 0815-Ticket-System)

    Mehr erfahren

    Wenn du Fragen hast, kannst du dich gerne jederzeit an @Maximilian Rupp wenden

    Hinweis: folgt noch

    Man kann diesen SiteGuard schon nutzen, muß dann halt nur die Verzeichnisse auschließen, die im normalen Betrieb geschrieben werden sollen.
    Also streng genommen nur /wp-content/uploads/.

    Gruß
    Ingo

    Wenn ich helfen konnte, bitte [ Gefällt mir ] klicken. :-)

    Ich behaupt mal das es für Laien kaum möglich ist zu wissen, welche Verzeichnisse ein Script mit Schreibzugriff benötigt.
    Darüber hinaus ist es so, das getade bei Hacks oft ganz normale Funktionen des Scripte benutzt werden, um Uploads zu tätigen. Diese Uploads landen dann in Verzeichnisse die freigegeben sein müssen, damit die Website läuft.
    So ein Verzeichnisschutz ist mehr oder weniger Augenwischerrei.

    Würde ich so nicht sagen, denn eine Vielzahl der Angriffe manipuliert die vorhandenen PHP-Dateien direkt. Mit dem Verzeichnisschutz ist das nicht möglich.

    Im Uploads-Ordner kann man nur bestimmte Dateien erlauben, wie z.B. Bilder und andere Medien, aber eben keine Skripte. Dann könnte ein Angreifer Deinen Webspace bestenfalls als Dateiablage mißbrauchen.

    Der Verzeichnis-Schutz ist sicher kein Allheilmittel, aber warum sollte man ihn nur deshalb nicht nutzen, weil er nicht alle Risiken 100%ig abdeckt?

    Gruß
    Ingo

    Wenn ich helfen konnte, bitte [ Gefällt mir ] klicken. :-)

    Quote from Putzlowitsch

    Würde ich so nicht sagen, denn eine Vielzahl der Angriffe manipuliert die vorhandenen PHP-Dateien direkt. Mit dem Verzeichnisschutz ist das nicht möglich.


    Ja das ist richtig, aber der erste Schritt ist fast immer ein Update eines entsprechendes Scriptes, danach folgen weitere Aktionen. Der Schaden an vorhandenen Datein kann natürlich eingegrenzt werden, wenn ein Schreibschhutz gesetzt ist, aber wenn ein Web gehackt wurde, sollten sowieso alle Files entfernt werden und mit einem sauberen Bachup wieder restauriert werden.

    Der Schutz ist sicher nicht nutzlos, aber bei solchen Dingen wird der tatsächliche Nutzen oft überschätzt.

    Quote

    Wie geht also dieser Jemand mit der Problematik Sicherheit bei Strato richtig um?

    Kann mir das jemand erklären? Grundsätzlich? Wie sichert ihr eine Strato-Präsenz nach den Regeln der Kunst ab? Was kann ich außer dem Verzeichnisschutz noch tun? Ich brauche nicht unbedingt für alles eine Anleitung, sondern Hinweise was zu tun ist. Danke!

    Quote from Presskopp

    Kann mir das jemand erklären? Grundsätzlich? Wie sichert ihr eine Strato-Präsenz nach den Regeln der Kunst ab? Was kann ich außer dem Verzeichnisschutz noch tun? Ich brauche nicht unbedingt für alles eine Anleitung, sondern Hinweise was zu tun ist. Danke!

    das hat nicht unbedingt mit einer Strato Seiten etwas zu tun: die Tipps zum Absichern von WP sind eigentlich allgemein. Am besten mal das hier durchschauen und abarbeiten: http://codex.wordpress.org/Hardening_WordPress

    Das ist mir bekannt. Ich versuche nochmal mein 'Problem' klar zu machen:

    Wie ich das verstehe kann man die Rechte setzen wie man will (z.B. mittels FileZilla), strato ignoriert das. Dafür gibt es dann eben diesen SiteGuard. Aber das ist, wie einige meinen, keine Lösung, sondern nur ein Pflaster. Dann gibt es noch SiteLock, kostet aber extra. Kann man also mit irgendwelchen Einstellungen / Kombinationen dieser Mittel überhaupt von einem 'abgesicherten' System sprechen? Oder sollte man strato tatsächlich (deswegen) meiden? Gibt es hier keinen der sich dieser Problematik bei strato angenommen hat? Ich habe natürlich schon gesurft wie blöd, und bei strato selbst (Anleitungen) ist natürlich alles tuffig und super. In unabhängigen Foren sieht das dann oft anders aus, doch ein Tip wie "Strato taugt nichts, wechsel den Hoster" ist für mich kein Tip. Etwas genauer hätte ich es schon gerne.

    ehrlich gesagt würde ich einen Webspace, bei dem ich die Zugriffsrechte nicht steuern kann, sofort in den Müll werfen und mir etwas richtiges holen. Beim Sitguard kann beispielsweise weiter per FTP geschrieben werden, egal ob er aktiv ist oder nicht. Und wie oben schon erwähnt muss der Upload ordnen immer offen bleiben beim Siteschutz, da ist also jederzeit ein Angriff möglich. Wäre mir zu heikel.

    Quote from Presskopp

    ...
    Wie ich das verstehe kann man die Rechte setzen wie man will (z.B. mittels FileZilla), strato ignoriert das...

    Das kann man so nicht sagen.

    Natürlich kann man bei Strato die Dateirechte ändern, da wird nichts ignoriert. Es ist aber so, daß bei Strato PHP als CGI/FastCGI im Kontext des FTP-Benutzes und damit des Dateieigentümers läuft. Die Verzeichnisrechte stehen bei Strato standardmäßig auf 755 (Schreibrechte nur für den Eigentümer), genau wie es immer überall als Empfehlung zu finden ist. Aber das bedeutet, daß eben PHP trotzdem alle Dateien beschreiben kann.

    Bei anderen Hostern, bei denen PHP als CGI/FastCGI im Kontext des FTP-Benutzes läuft (z.B. 1&1), ist es übrigens genau so. Das ist durch das technische Konzept bedingt.

    Bei Hostern, wo PHP als Apache-Modul läuft, sieht das wieder anders aus. Da kann PHP erstmal überhaupt nicht auf die vom FTP-Nutzer hochgeladenen Datein schreiben.

    Außerdem ist es immer auch eine Frage des Komforts. Will ich z.B. die Mediathek in WP nutzen, dann muß der Uplaods-Ordner durch PHP bescheibbar sein, sonst wird das nichts. Will ich einfach Updates direkt in WP fahren und bequem Plugins und Theme installieren können, müssen praktisch alle Dateien und Verzeichnisse für PHP beschreibbar sein.

    Gruß
    Ingo

    Wenn ich helfen konnte, bitte [ Gefällt mir ] klicken. :-)

    Kurz gesagt, um es etwas plastischer zu machen:

    Wenn ich jetzt "alles abdichte" (Rechte runtersetze), aber /wp-content/uploads/ nicht, habe ich dann etwas für die Sicherheit getan?

    Aus meiner Sicht ja.

    Wenn Du absolut sicher gehen willst, daß die Seite keinen Angriffen ausgesetzt ist, dann mußt Du sie allerdings vom Netz nehmen. :-)

    Gruß
    Ingo

    Wenn ich helfen konnte, bitte [ Gefällt mir ] klicken. :-)

    Guter Tip, aber das wollte ich dann doch nicht, habe aber wegen all der Sicherheitsaspekte auf RFC 1149 umgestellt. Außderm habe ich den Strato-Support gebeten, brain.exe v3.1 zu installieren, haben sie auch prompt gemacht und gesagt, das wäre die beste Anregung seit langem gewesen. Soll jetzt flächendeckend kommen ;-)

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login