ohne passwort Hakerangriff möglich?

S

stefkey

Member
Hallo,

ist es richtig das man einen Server gundsätzlich nur hacken kann wenn man Zugangsdaten hat?

Geht es also grundsätzlich zuerstmal für den Haker darum einen Benutzername und Passwort auszuspionieren?
 
gut, nehmen wir man an die php-Files wären sicher, oder noch besser. Es gibt keine php-Webseiten. Dann muss man sicher an ein Benutzerpasswort rankommen, oder gibt es?

Und wenn dem so ist, muss doch der Haker entweder den Datenstrom mitlesen oder Passwörter durchprobieren um eben an ein Passwort zu gelangen. D.h. wenn ich mich nur per ssh mit Publickey einlogge gibts nur noch die Möglichkeit das Passwort zu suchen, also Brute-Force-Methode - und da hat man das Passort sicher nicht in 5 Minuten raus.

Ist das so richtig und habe ich das im groben Verstanden?

Besten Dank und Grüße,
stefkey
 
Drehen wir das Ganze mal rum.

Du hast nach außen hin nur den SSH-Port offen und zur Anmeldung ist per Config zwingend KeyAuth erforderlich.

In dem Fall muß der vermeintliche Angreifer erstmal den PrivateKey haben, der zu dem PublicKey (auf dem Server für den entsprechenden Benutzer) passt.
Sofern dieser (der PrivateKey) mittels Passphrase geschützt ist, muss er diese kennen/erraten.
 
Nicht zu vergessen ist, dass jeder Port, hinter dem ein Programm lauscht, ein potenzielles Einfallstor ist, denn das (u.U. sehr komplexe) Programm wurde von Menschen geschrieben und Menschen machen nun einmal Fehler.

Daher ist es wichtig,
  • nur diejenigen Dienste auch nach außen anzubieten, die man wirklich unbedingt braucht und den ganzen Rest abzuschalten (netstat und nmap leisten bei der Kontrolle gute Dienste),
  • die laufenden Dienste so restriktiv wie möglich zu konfigurieren (Beispiel: ssh nur mit Key-Authentifizierung),
  • entsprechende Mailinglisten zu lesen und sein System immer fleißig mit Sicherheitspatches für die relevanten Programme zu versorgen, falls bei einem der Dienste (oder dem Kernel) ein Remote-Exploit möglich sein sollte.
 
Erst vor kurzem ist eine Lücke im SpamAssassin aufgetaucht, die mit einer präparierten E-Mail zur Ausführung jedes Systembefehls ausgenutzt werden kann.
Dafür muss ein Angreifer kein Kennwort haben - bloß eine präparierte E-Mail einliefern, die du im Zweifelsfalle nichtmal bekommst, weil sie vom SA aussortiert wird...
 
Lord Gurke said:
...bloß eine präparierte E-Mail einliefern...
Click to expand...
Es sind schon etwas mehr Voraussetzungen zu erfüllen um die Schwachstelle im Milter-Plugin auszunutzen, falls du das meinst.

Mit einer einfachen Mail ist es nicht getan. Aber das nur am Rande.

Noch ein Hinweis: Sämtliche auf der Serverseite ausgeführten Skripte bergen potentielle Schwachstellen, das heisst nicht nur PHP.

Du musst dir aber auch immer überlegen, was es dem Angreifer für einen Vorteil bringt in deinen Server einzudringen. Ist da nur ne kleine Webseite drauf, dann wird er sicherlich ein paar Passwortkombinationen oder bekannte Schwachstellen in Softwareprodukten ausprobieren. Gelingt das nicht, wird er in der Regel aufgeben, da zu aufwändig.

Liegen allerdings Geheimakten des BGS auf deinem Server mit dem Hinweis "Bitte nicht hacken, sensible Daten!", dann kann es durchaus sein, dass sich jemand etwas mehr anstrengt und einfach deinen Computer klaut (diese Schwachstelle wird oft unterschätzt).
 
stefkey said:
...ist es richtig das man einen Server gundsätzlich nur hacken kann wenn man Zugangsdaten hat?
Click to expand...

Nichts für ungut, aber diesen Satz mal auf der Zunge zergehen lassen!

Ich hacke also jedesmal meinen eigenen Server, ich habe ja die Zugangsdaten:D

Ich weiss was der TO gemeint hatte, aber im überfliegen des Threads hat sich dieser Satz bei mir eingebrannt.
 
You must log in or register to reply here.
Back
Top