Wie hack ich meinen Server
- Thread starter mbgrille
- Start date
-
- Tags
- hacks sicherheitslücken
B
blupp1
Guest
Hör nicht auf Virtual2, er ist hier nur mal wieder am flamen.
Was genau möchtest du überprüfen? Den ganzen Server? Eine Webseite? usw. Du musst schon mehr Informationen liefern.
Übrigens: gib niemals rm / -rf ein
Was genau möchtest du überprüfen? Den ganzen Server? Eine Webseite? usw. Du musst schon mehr Informationen liefern.
Übrigens: gib niemals rm / -rf ein
d4f
Kaffee? Wo?
Und jetzt einen (hoffentlich) sinnvollen Beitrag:
- metasploit
- nmap
- skipfish
- Nessus + Hydra
- Low Orbit Ion Cannon (LOIC) *
- Apache Benchmark (ab) *
- exploit-db
Und jetzt das wichtigste:
(Fast) alle Tools fallen unter den Hackerparagraphen, der Besitz ist also alles andere als empfohlen
Einen Server wirst du uebrigens mit keinem der Tools hacken koennen, mit Script-Kiddy Tools kriegste hoechstens voellig veraltete Dienste in die Knie.
* Stress-Testing
- metasploit
- nmap
- skipfish
- Nessus + Hydra
- Low Orbit Ion Cannon (LOIC) *
- Apache Benchmark (ab) *
- exploit-db
Und jetzt das wichtigste:
(Fast) alle Tools fallen unter den Hackerparagraphen, der Besitz ist also alles andere als empfohlen
Einen Server wirst du uebrigens mit keinem der Tools hacken koennen, mit Script-Kiddy Tools kriegste hoechstens voellig veraltete Dienste in die Knie.
* Stress-Testing
Danke für die zahlreichen Antworten,
ich habe mein Webpaket erweitern wollen und habe für 1€ mehr mein Webpaket in einen vServer umgewandelt. Ich muss zugeben: ich habe mir etwas anderes vorgestellt ... jetzt weiss ich was ein vServer ist. Ist aber weniger ein Problem für mich, da ich für meine Webprojekte schon öfter mit VM-Ware einen Server aufgesetzt habe und mich daher wenigstens grundlegend mit Linux auskenne.
Ich befürchte aber, dass mein Wissen nicht ausreicht. Daher diese Frage die auch relativ allgemein ist: denn einerseits geht es um die Sicherheit der einzelnen Webprojekte welche ich auf meinem Server umsetzen will, andererseits auch um den vServer selbst.
Ich würde gerne alle Möglichkeiten genau kennen, welche Hacker nutzen können um mir irgendwie Schaden zuzufügen. Vorallem befürchte ich dass über mein Server Schadsoftware und Spam oder gar verbotene Pornografie verteilt wird.
Ich könnte mir auch vorstellen, dass dieses Thema auch für professionelle Admins interessant bleibt, da ja auch die Hacker nicht schlafen und ihre Methoden genauso weiterentwickeln, wie ja auch die jeweilige Software (PHP usw.) immer weiterentwickelt wird und dadurch wieder neue Sicherheitslücken entstehen können.
@d4f
Danke für die Auflistung der Programme ... mit nmap habe ich vor ein paar Jahren schon einmal versucht meinen Rechner auf offene Prots zu prüfen. Habe damals auch schon gelesen, dass der Besitz der Programme schon verboten ist ...
@virtual2 ... danke für den rm-tip ... ich glaube mein server läuft jetzt schneller.
ich habe mein Webpaket erweitern wollen und habe für 1€ mehr mein Webpaket in einen vServer umgewandelt. Ich muss zugeben: ich habe mir etwas anderes vorgestellt ... jetzt weiss ich was ein vServer ist. Ist aber weniger ein Problem für mich, da ich für meine Webprojekte schon öfter mit VM-Ware einen Server aufgesetzt habe und mich daher wenigstens grundlegend mit Linux auskenne.
Ich befürchte aber, dass mein Wissen nicht ausreicht. Daher diese Frage die auch relativ allgemein ist: denn einerseits geht es um die Sicherheit der einzelnen Webprojekte welche ich auf meinem Server umsetzen will, andererseits auch um den vServer selbst.
Ich würde gerne alle Möglichkeiten genau kennen, welche Hacker nutzen können um mir irgendwie Schaden zuzufügen. Vorallem befürchte ich dass über mein Server Schadsoftware und Spam oder gar verbotene Pornografie verteilt wird.
Ich könnte mir auch vorstellen, dass dieses Thema auch für professionelle Admins interessant bleibt, da ja auch die Hacker nicht schlafen und ihre Methoden genauso weiterentwickeln, wie ja auch die jeweilige Software (PHP usw.) immer weiterentwickelt wird und dadurch wieder neue Sicherheitslücken entstehen können.
@d4f
Danke für die Auflistung der Programme ... mit nmap habe ich vor ein paar Jahren schon einmal versucht meinen Rechner auf offene Prots zu prüfen. Habe damals auch schon gelesen, dass der Besitz der Programme schon verboten ist ...
@virtual2 ... danke für den rm-tip ... ich glaube mein server läuft jetzt schneller.
Last edited by a moderator:
Willst du mir jetzt ehrlich sagen, du hast den Befehl ausgeführt ?
Wenn ja, gute Nacht, hoffe du hast ein Backup ........
D
Deleted member 10028
Guest
@Fr33z3m4n:
Hast du seine Ironie nicht schon von Weitem gerochen?^^
@nmap:
Seit wann ist der Besitz dieser Software verboten?
Solange ich damit nur meine eigenen Systeme scanne, sollte es doch eigentlich keine Probleme darstellen, oder irre ich mich?
Hast du seine Ironie nicht schon von Weitem gerochen?^^
@nmap:
Seit wann ist der Besitz dieser Software verboten?
Solange ich damit nur meine eigenen Systeme scanne, sollte es doch eigentlich keine Probleme darstellen, oder irre ich mich?
Joe User
Zentrum der Macht
Du glaubst doch nicht ernsthaft, dass Dir hier jemand dabei helfen wird, eine Straftat zu begehen? Cracken (so heisst es übrigens richtig, "Hacken" ist falsches Medienblabla) fremder Systeme ist nicht nur in D ein Straftatbestand und "Dein" System ist nunmal nicht Dein System, sondern das Deines Anbieters und somit rechtlich ein fremdes System.
Besorge Dir entsprechende Fachbücher und lerne an einer lokalen VM.
Besorge Dir entsprechende Fachbücher und lerne an einer lokalen VM.
Es geht mir nur darum Leute abzuhalten andere, möglicherweise softwaretechnisch veraltete Server zu kapern, denn das wollen wir ja nicht.
Und ja hier in Bayern sind Ferien.
Es gibt so einige tools, die auch ich nutze um meine Kisten auf diverse Sicherheitsmängel zu überprüfen.
Z.b.:
nmap / zenmap (nmap gui)
slowloris (sehr böse, mod_antiloris und iptables connlimit schaffen Abhilfe)
Low Orbit Ion Canon - LOIC (auch sehr böse, syn cookies und iptables connlimit schaffen Abhilfe)
@blupp1: Ich flame nicht, solche Fragen werden nur teils gezielt von Scriptkiddies gefragt, damit sie neues Material haben uns roots auf die Nerven zu gehen bzw. den Traffic hochzutreiben. Deshalb bin ich da ein wenig vorsichtig.
Den Rest, also den Systeminternen Bereich kannst du mit etwas Erfahrung eigentlich sehr simpel überprüfen. Google hilft dir hierbei.
PS: Wenn du Angst vor SQL, XSS oder CSRF Injections hast, kann ich dir den Hiawatha Webserver empfehlen, denn dieser hat bereits einige sehr sinnvolle Schutzmechanismen. Einen 100k DoS hält dieser übrigens mit einer Ram-Nutzung von 180MB stand (~1000 offene connections) .
Grüße,
der angeblich flamende virtual2
Und ja hier in Bayern sind Ferien.
Es gibt so einige tools, die auch ich nutze um meine Kisten auf diverse Sicherheitsmängel zu überprüfen.
Z.b.:
nmap / zenmap (nmap gui)
slowloris (sehr böse, mod_antiloris und iptables connlimit schaffen Abhilfe)
Low Orbit Ion Canon - LOIC (auch sehr böse, syn cookies und iptables connlimit schaffen Abhilfe)
@blupp1: Ich flame nicht, solche Fragen werden nur teils gezielt von Scriptkiddies gefragt, damit sie neues Material haben uns roots auf die Nerven zu gehen bzw. den Traffic hochzutreiben. Deshalb bin ich da ein wenig vorsichtig.
Den Rest, also den Systeminternen Bereich kannst du mit etwas Erfahrung eigentlich sehr simpel überprüfen. Google hilft dir hierbei.
PS: Wenn du Angst vor SQL, XSS oder CSRF Injections hast, kann ich dir den Hiawatha Webserver empfehlen, denn dieser hat bereits einige sehr sinnvolle Schutzmechanismen. Einen 100k DoS hält dieser übrigens mit einer Ram-Nutzung von 180MB stand (~1000 offene connections) .
Grüße,
der angeblich flamende virtual2
@ Joe User
danke für den Tip! Stimmt .. mein vServer ist ja eigentlich ein Teil eines richtigen Servers der mir nicht gehört! Ich werde das Portscannen vielleicht doch lieber unterlassen und mich intensiver mit Benutzer/Benutzergruppen/sichere Passwörter und Benutzerrechte auseinandersetzen.
danke für den Tip! Stimmt .. mein vServer ist ja eigentlich ein Teil eines richtigen Servers der mir nicht gehört! Ich werde das Portscannen vielleicht doch lieber unterlassen und mich intensiver mit Benutzer/Benutzergruppen/sichere Passwörter und Benutzerrechte auseinandersetzen.
Ben.
Registered User
@mbgrille: Nimm lieber etwas Kleingeld in die Hand und lass deinen Server einem Auditing unterziehen. Das ist nicht strafbar und bringt - sofern es der richtige Dienstleister tut - fast genauso viel.
Und sollte deine Seite irgendwann so gross sein, dass es interessant wäre gezielt gegen deinen Server vorzugehen, dann hast du vermutlich genug Geld zur Hand um einen Admin zu mieten.
Zudem sollte eins klar sein: Nur weil man weiss wie das Tool heisst, bedeutet das nicht, dass man auch weiss wie es zu bedienen ist um aussagekräftige Ergebnisse zu erhalten.
Und sollte deine Seite irgendwann so gross sein, dass es interessant wäre gezielt gegen deinen Server vorzugehen, dann hast du vermutlich genug Geld zur Hand um einen Admin zu mieten.
Zudem sollte eins klar sein: Nur weil man weiss wie das Tool heisst, bedeutet das nicht, dass man auch weiss wie es zu bedienen ist um aussagekräftige Ergebnisse zu erhalten.
d4f
Kaffee? Wo?
@Joe User:
Jein.
Innerhalb der Computersicherheit sehen Teile der Subkultur ihre Absicht darin, Sicherheitslücken aufzuzeigen und zu beseitigen, und schreiben dem Begriff einen positiven Anklang zu[/quote]
Haengt auch wieder davon ab wen du fragst
Da er nicht die Hardware sondern nur die eben von ihm in Auftrag gegebene, installierte und gewartete Software angreift und dabei nicht das Netz des Anbieters belastet oder gefaerdet sollte dieser nicht viel dagegen haben
Kann aber gut sein dass bei Portscan deine DSL-IP null-routed wird ^^
Ob der reine Besitz der Programme strafbar ist, ist diskutierbar, da bislang immer der Zweck mit in Rechnung gezogen wurde.
Meines Wissens hatte ein Heise-Redakteur eine Selbstanzeige wegen Besitz einer Backtrack-CD (so ziemlich alle bislang aufgezaehlten Tools mit noch paar huebschen Nettigkeiten auf einer bootbaren CD) versucht und ist aufgrund des Bildungs-Charakters und der "white-hat" Nutzung nicht durchgekommen.
Die ueblichen Tools sollten uebrigens keinen Angriff schaffen; denn sonst waere dein Server durch das "Grundrauschen" schon zweckentfremdet.
Jein.
[quote="Wikipedia](Hacker)Wikipedia said:
Innerhalb der Computersicherheit sehen Teile der Subkultur ihre Absicht darin, Sicherheitslücken aufzuzeigen und zu beseitigen, und schreiben dem Begriff einen positiven Anklang zu[/quote]
Haengt auch wieder davon ab wen du fragst
Da er nicht die Hardware sondern nur die eben von ihm in Auftrag gegebene, installierte und gewartete Software angreift und dabei nicht das Netz des Anbieters belastet oder gefaerdet sollte dieser nicht viel dagegen haben
Kann aber gut sein dass bei Portscan deine DSL-IP null-routed wird ^^
Ob der reine Besitz der Programme strafbar ist, ist diskutierbar, da bislang immer der Zweck mit in Rechnung gezogen wurde.
Meines Wissens hatte ein Heise-Redakteur eine Selbstanzeige wegen Besitz einer Backtrack-CD (so ziemlich alle bislang aufgezaehlten Tools mit noch paar huebschen Nettigkeiten auf einer bootbaren CD) versucht und ist aufgrund des Bildungs-Charakters und der "white-hat" Nutzung nicht durchgekommen.
Die ueblichen Tools sollten uebrigens keinen Angriff schaffen; denn sonst waere dein Server durch das "Grundrauschen" schon zweckentfremdet.
Joe User
Zentrum der Macht
Leute denen ich etwas mehr vertraue, als den Wikipedianern:Haengt auch wieder davon ab wen du fragst
http://koeln.ccc.de/prozesse/writing/artikel/hacker-howto-esr.xml
ShadowDomE
Registered User
sag mir die IP und ich sag dir ob er safe ist 
wenn er weg ist weiste er war nicht safe.. und ich freu mich über eiinen neuen server
wenn er weg ist weiste er war nicht safe.. und ich freu mich über eiinen neuen server
Ben.
Registered User
Ist das ein Angebot oder eine Herausforderung?sag mir die IP und ich sag dir ob er safe ist
wenn er weg ist weiste er war nicht safe.. und ich freu mich über eiinen neuen server
ShadowDomE
Registered User
weder noch.. da ich mich mit dem versuch zu checken ob dein server safe ist strafbar mache^^ da du ja aufeinmal sagen könntest äh der hat mein server gehackt und so.
ShadowDomE
Registered User
sofern sich in den letzten 5 jahren nix geändert hat ja aber ich bezweifel das die server immernoch soo unsicher sind wie damals.
es kommt ja drauf an was du testen willst..
DDOS
oder SSH sicherheit
oder oder oder.
Linux? Windows? Welches?
aber ich bezweifel das die server immernoch soo unsicher sind wie damals. es kommt ja drauf an was du testen willst..
DDOS
oder SSH sicherheit
oder oder oder.
Linux? Windows? Welches?