33 posts tagged with "security"

The Logjam Attack

Erstellt am 2015-05-23 | Lesedauer: 1 Minute(n)

Vor kurzem hatte ich einen Beitrag erstellt, der erklärt, wie man HTTPS inklusive Forward Security beim Nginx konfiguriert. Als nun Nachrichten von einer „neuen" Lücke durch die Medien gingen, die…

Vollständigen Post lesen

WordPress XML-RPC Angriff

Erstellt am 2014-07-20 | Lesedauer: 1 Minute(n)

Beim Kontrollieren meiner Logs musste ich heute feststellen, dass ein Botnetz versucht hat und immer noch dabei war, das XML-RPC Feature meiner WordPress Installation für Angriffe auf andere Server…

Vollständigen Post lesen

Nginx: Denial Of Service Abwehr

Erstellt am 2014-06-14 | Lesedauer: 3 Minute(n)

Vor ein paar Tagen gab es ein Problem durch einen Denial Of Service (DOS). Einer der unzähligen SEO Agenturen crawlte die betroffene Seite mehr aggressiv. Die robots.txt wurde dabei natürlich…

Vollständigen Post lesen

MySQL/MariaDB mit mysql_secure_installation absichern

Erstellt am 2013-12-31 | Lesedauer: 2 Minute(n)

Was viele nicht wissen und bei vielen Tutorials ausgelassen wird, ist das nützliche Tool mysqlsecureinstallation MariaDB ist bei Debian einfach zu installieren: Ebenso MySQL: Was viele nicht wissen…

Vollständigen Post lesen

Sicherheitslücke im Nginx: so schnell wie möglich updaten

Erstellt am 2013-11-23 | Lesedauer: 1 Minute(n)

Diese Woche war auf so ziemlich jedem Newsportal, wie z.B. heise.de zu lesen, dass der Nginx Webserver eine Sicherheitslücke hat, durch die man Code einschleusen kann. Zu dem Fix wurde gleichzeitig…

Vollständigen Post lesen

Angriff auf zap-hosting.com

Erstellt am 2013-07-02 | Lesedauer: 1 Minute(n)

Wie mittlerweile auch heise berichtet, wurde der Hoster zap-hosting erfolgreich angegriffen. Bisher gibt es nur die Informationen, die der Angreifer auf der defaceten Seite hinterlassen hat. Laut…

Vollständigen Post lesen

Grüße von einem Botnetz

Erstellt am 2013-05-30 | Lesedauer: 1 Minute(n)

So wie es scheint gehen die Angriffe auf WordPress Blogs in die nächste Runde. Ich musste eben das Wordfence Plugin umstellen, damit es mich nicht mehr mit E-Mails zuspammt. Bisher wurde ich über…

Vollständigen Post lesen

Wie man unsicher gehashte Passwörter erkennt

Erstellt am 2012-12-08 | Lesedauer: 1 Minute(n)

Das man Passwörter nicht ungesichert in die Datenbank schreiben sollte, hat sich sicher mittlerweile herumgesprochen. Falls eine Webseite einem das aktuelle Passwort zuschicken kann, würde ich meine…

Vollständigen Post lesen

Spammer, Webspell und Stopforumspam.com

Erstellt am 2012-01-27 | Lesedauer: 2 Minute(n)

Das CMS Webspell hat, wie so ziemlich jedes andere CMS auch, mit Spammern zu kämpfen. Der Clan myRevenge e.V. setzt Webspell ein und hat mich um Hilfe mit ihrem Spam Problem gebeten. Trotz Captcha und…

Vollständigen Post lesen

Vorschlag einer genaueren Protection Mode Richtlinie der ESL

Erstellt am 2012-01-07 | Lesedauer: 3 Minute(n)

Möchte man als Hoster bei der ESL als zertifizierter Hoster geführt werden, muss er seinen Kunden ein Webinterface bereitstellen, dass den genannten Protection Mode unterstützt. beim…

Vollständigen Post lesen

Zeit mal wieder zu updaten

Erstellt am 2011-11-19 | Lesedauer: 1 Minute(n)

Wenn man Systemupdates gerne schleifen lässt, wäre es derzeit vielleicht nicht schädlich, wenn man diese Gewohnheit etwas aussetzt. In den letzten Tagen und Wochen sind mehrere Updates erschienen, die…

Vollständigen Post lesen

SSH protected Bypass, oder doch nicht?

Erstellt am 2011-11-07 | Lesedauer: 1 Minute(n)

Ich bin vorhin über ein Youtube Video gestolpert. In ihm wird aufgezeigt, wie man das Blockieren des "plugin_load" Befehls bei Half-Life 2 basierenden Servern wie Counter-Strike: Source aushebeln kann…

Vollständigen Post lesen

Schon einmal daran gedacht, …

Erstellt am 2011-10-01 | Lesedauer: 1 Minute(n)

dass man mit Gamserver Plugins mehr anstellen kann, als nur Admin Verwaltung und Spielmodifikationen? In letzter Zeit habe ich viel darüber geschrieben, welche Maßnahmen man ergreifen sollte, um den…

Vollständigen Post lesen

Über den Umgang von Firmen mit Sicherheitslücken

Erstellt am 2011-09-22 | Lesedauer: 2 Minute(n)

Nachdem ich wieder mal eine potenzielle Schwäche mancher Hostinglösungen aufgezeigt habe, habe ich verschiedene Reaktionen erhalten. Zu den Lücken sei noch gesagt, dass alle bisher beschriebenen…

Vollständigen Post lesen

Cheat protected Server? Ich denke nicht!

Erstellt am 2011-09-20 | Lesedauer: 3 Minute(n)

Ich bin bereits in vorherigen Artikeln darauf eingegangen, wie man mittels FTP Client und dem Servercommand plugin_load bei vielen Hostern den so genannten Protection Modus aushebeln kann: Cheat…

Vollständigen Post lesen

Protected Modus für die ESL

Erstellt am 2011-09-04 | Lesedauer: 1 Minute(n)

Ich wurde gebeten, mein Webinterface easy-wi um eine Möglichkeit zu erweitern, den Serverstatus extern erfragen zu können. Dies insbesondere im Hinblick auf den Protection Modus. Das Ganze habe ich…

Vollständigen Post lesen

Es war ja nur gut gemeint

Erstellt am 2011-08-30 | Lesedauer: 2 Minute(n)

Vor einigen Monaten hat die ESL ein Serverplugin eingeführt. Vorgeblich sollte es das Administrieren des Warservers vereinfachen und noch einige andere Funktionen mit sich bringen. Eine nicht…

Vollständigen Post lesen

Etwas mehr Sicherheit und Privatsphäre

Erstellt am 2011-08-19 | Lesedauer: 1 Minute(n)

Ich bin gerade auf ein Firefox Plugin aufmerksam geworden, dass mir sehr sinnvoll erscheint. Es nennt sich RequestPolicy. Die Webseite zu dem Plugin ist hier zu finden. Es kommt sehr oft vor, dass…

Vollständigen Post lesen

Cheat protected Server Nr.3

Erstellt am 2011-02-27 | Lesedauer: 1 Minute(n)

Ich habe noch einen kleinen Nachtrag zu dem Umgehen des Protection Modus. Wie man ihn leicht umgehen kann, hatte ich in diesem Beitrag beschrieben. Das man dieses Vorgehen durch das setzen eines…

Vollständigen Post lesen

Gameserverhoster machen das Hacken sehr einfach

Erstellt am 2011-02-24 | Lesedauer: 4 Minute(n)

Ich hatte in einem früheren Beitrag geschildert, wie man recht einfach die bestehenden protection Systeme aushebeln kann. Im Gegensatz zum Nachladen von Plugins, gibt es noch wesentlich…

Vollständigen Post lesen

Cheat protected Server Nr.2

Erstellt am 2011-02-19 | Lesedauer: 1 Minute(n)

In meinem Beitrag Cheat Protected Server, oder doch nicht? hatte ich eine Möglichkeit aufgezeigt, mit der sich die meisten gängigen Protection Systeme von Gameserver Anbietern aushebeln kann…

Vollständigen Post lesen

Die größte Sicherheitslücke eines Systems ist der Mensch

Erstellt am 2011-02-17 | Lesedauer: 1 Minute(n)

Ich hatte mich vor einiger Zeit darüber ausgelassen, dass das Abspeichern von Passwörtern als reiner MD5 Hash zu einem Sicherheitsproblem werden kann, wenn die Datenbank in die falschen Hände gelangt…

Vollständigen Post lesen

Cheat Protected Server, oder doch nicht?

Erstellt am 2011-02-13 | Lesedauer: 3 Minute(n)

Die hier beschriebe Schwachstelle ist relativ einfach mittels FTP LIMIT Anweisungen von den Hostern bei sämtlichen Interface Lösungen abzustellen. Falls ein Interface Anbieter keine Regeln…

Vollständigen Post lesen

Den Apache und PHP etwas sicherer machen

Erstellt am 2011-02-12 | Lesedauer: 4 Minute(n)

Im Folgenden ein paar Vorschläge, wie man seinen Apache, bzw. seinen Webspace etwas sicherer machen kann. Zum Thema Sicherheit sei noch angemerkt, dass es ein fortlaufender Prozess ist und man sein…

Vollständigen Post lesen

Routinemäßige Überprüfung Ihres Vertrages

Erstellt am 2011-02-06 | Lesedauer: 2 Minute(n)

Ich habe heute mal eine Spammail anderer Art bekommen. Weder die Filter meines Anbieters, noch mein Mailclient hat die Mail als Spam eingestuft. Das ganze war sogar in recht ordentlichem Deutsch, wenn…

Vollständigen Post lesen

Kampf den (Counter-Strike Source) Server Laggern

Erstellt am 2011-01-26 | Lesedauer: 2 Minute(n)

Ein altes Problem bei HL2 Servern sind A2S_INFO DoS Attacken, die eine Schwachstelle im Server ausnutzen. Es gibt leider auch noch andere Schwachstellen. Diese sind nicht auf Counter-Strike Source…

Vollständigen Post lesen

Das Mieten eines Servers sollte gut überlegt sein

Erstellt am 2011-01-21 | Lesedauer: 2 Minute(n)

Eins vorne weg. Ich will hier keinen davon abbringen einen Root-, oder Vserver zu mieten. ich will lediglich aufzeigen, das man sich einen solchen Schritt, vor allem aus Haftungsgründen, gründlich…

Vollständigen Post lesen

MD5 Hashes für Passwörter sind unsicherer, als man denkt.

Erstellt am 2010-11-23 | Lesedauer: 1 Minute(n)

Man liest immer wieder, dass man Passwörter in Datenbanken am besten als md5 Hash hinterlegt und bei einem Login dann den Hash des gerade eingegebenen Passwortes mit dem hinterlegten abgleicht. Das…

Vollständigen Post lesen

Einige Ideen für ProFTP (mit Tekbase)

Erstellt am 2010-11-16 | Lesedauer: 3 Minute(n)

Zugriff mit Systemusern Es treten immer wieder Probleme und dem FTP Deamon ProFTP auf. Wenn man dazu noch Tekbase einsetzt, werden sie selten weniger. Oft kommt es vor, dass die angelegten Systemuser…

Vollständigen Post lesen

ProFTP Packet von Plesk verwundbar

Erstellt am 2010-11-16 | Lesedauer: 1 Minute(n)

Plesk bringt Packete wie ProFTP selber mit. Das ist auch nichts schlimmes, man muss nur halt immer manuell alles updaten. Was schlimmer ist, ist dass derzeit bei allen Pleskinstallationen eine schwere…

Vollständigen Post lesen

Rootserver sind kein Spielzeug, oder wer nicht hören kann, der muss …

Erstellt am 2010-10-02 | Lesedauer: 3 Minute(n)

Ich hatte jemanden oft gesagt, dass die Art und Weise, wie er seinen Root Server administriert sehr unsicher ist. – Ein Passwort für alles – Für alles ein Webpanel – Administration nach dem Motto…

Vollständigen Post lesen

Firewall unter Linux auch bekannt unter IPtables

Erstellt am 2010-09-25 | Lesedauer: 7 Minute(n)

Eins vorne vor weg. Eine Softwarefirewall kann immer nur dazu genutzt werden kleineren Dreck zu filtern. Wenn euch jemand mit ausreichender Bandbreite zubombt kann nur eine vorgeschaltetet…

Vollständigen Post lesen

Verantwortungslose Admins

Erstellt am 2010-06-01 | Lesedauer: 1 Minute(n)

Ich habe gerade in einem Forum einen Hilfegesuch gelesen, bei dem der User einen "nicht funktionierenden" FTP Server hat. 220 ProFTPD 1.3.1 Server (ProFTPD) x.x.x.xBefehl: USER rootAntwort: 33…

Vollständigen Post lesen