Schutz vor Übergriff auf andere Domains

[LordLolo]

Hallo Zusammen,

ich habe ein Webhosting-Paket bei Strato, auf denen ich private Websites von Freunden gehostet habe. Nun möchte ich zusätzlich eine geschäftliche Website hosten. Wie kann sich sicherstellen, dass, wenn eine der privaten Websites gehackt werden (z.B. durch ein nicht aktuelles CMS), der Eindringling nicht auf die geschäftliche Domain/Website übergreifen kann?

Vielen Dank vorab!
Frank

 

[nexus]

Wie kann sich sicherstellen, dass, wenn eine der privaten Websites gehackt werden (z.B. durch ein nicht aktuelles CMS), der Eindringling nicht auf die geschäftliche Domain/Website übergreifen kann?

Separates Webspace-Paket für die geschäftliche Seite anmieten.

 

[LordLolo]

Keine andere Möglichkeit über .htaccess o.ä.?

 

[nexus]

Keine andere Möglichkeit über .htaccess o.ä.?

Nicht wirklich, da du ja keine Kontrolle darüber hast, wie gut (oder schlecht) der Hoster seine Webspaces absichert.

Davon mal abgesehen sollten 5-10€ pro Monat für die geschäftliche Seite drin sein. Wenn nicht, stimmt schon etwas an dem Grundkonzept des Geschäfts nicht...

 

[Lucan]

Wenn dein Hoster dir die Möglichkeitgibt die open_basedir anzupassen und du das auf das eine benötigte Verzeichnis des Webspaces je Domain anpasst, dann kann i.d.R. ein Angriff auf ein CMS dort nicht den Rest des Webspaces befallen.

 

[PHP-Friends]

open_basedir schützt aber auch *nur* PHP selbst, noch nicht einmal ein exec() o.Ä. innerhalb eines PHP-Skripts wird dadurch eingeschränkt. Webspaces sind in der Regel strukturell nicht wirklich darauf ausgelegt, verschiedene Webseiten vernünftig voneinander zu trennen. Hierfür sollte man auf Reseller-Pakete oder managed Server zurückgreifen.

 

[TerraX]

Wenn dein Hoster dir die Möglichkeitgibt die open_basedir anzupassen und du das auf das eine benötigte Verzeichnis des Webspaces je Domain anpasst, dann kann i.d.R. ein Angriff auf ein CMS dort nicht den Rest des Webspaces befallen.

Kurzum: NEIN. Hat der Angreifer sich erstmal Shellzugang verschafft, war's das, dann liegt ihm quasi der gesamte Server zu Füßen.

 

[LordLolo]

Alles klar, danke Euch!

 

[Lucan]

Bei den meisten 0815 Webspaces ist jedoch kein Shell Zugang vorhanden und Exec deaktiviert.

Wenn es also ein simpler php Webspace ist (wie geschätzte 90%), dann klappt das mit der open_basedir ohne Probleme.

 

[danton]

Viele Webspace-Pakete unterstützen neben PHP auch andere Scriptsprachen wie z.B. Perl. Auf die hat die PHP-Einstellung open_basedir keine Aufwirkung. Mit einer passenden Lücke in einem PHP-Script wird dann ein Perl-Script auf den Webspace kopiert/erzeugt und schon ist open_basedir ausgehebelt.
Eine saubere Trennung muß durch das Betriebssystem erfolgen, z.B. Restriktionen im Dateisystem und/oder Jails bzw. chroot-Umgebungen o.ä. Das hat man aber bei den meisten Webspace-Paketen nicht innerhalb eines Paket, da die Hoster hier oft nur einen User pro Paket anlegen, der dann natürlich keine Beschränkungen innerhalb des Paketes mehr hat. Bei mehreren Webspace-Paketen ist die Trennung aber oft vorhanden (da unterschiedliche Verträge).

 

[TerraX]

Bei den meisten 0815 Webspaces ist jedoch kein Shell Zugang vorhanden und Exec deaktiviert.[...]

Das Wesen von Hacks und Exploits besteht darin, Dinge zu tun, die eigentlich nicht zulässig sein sollen.

Das hier sind nur security issues, die direkt bei PHP und dessen Modulen liegen. Da reden wir noch gar nicht von potentiellen Fehlerquellen der letztlich eingesetzten Scripte.

https://www.cvedetails.com/vulnerability-list/vendor_id-74/product_id-128/PHP-PHP.html

Addiere dazu die Ausführungen von danton und Du erkennst plötzlich, wie groß die Angriffsfläche tatsächlich ist.