Archiv

Artikel Tagged ‘Sicherheit’

Aktuell aus unserem Kundensupport

6. April 2010 Kommentare ausgeschaltet

Heute bekamen wir einen Anruf von einem Kunden, bei dem vermutlich über Ostern die Webseite komplett gehackt war. Zunächst wurde ein Sicherheitsleck im verwendeten CMS vermutet, was sich im nachhinein als Fehlanalyse herausstellte.

Nach dem Login per FTP auf dem Webspace war noch nicht erkennbar, welches Chaos der Hacker bei dieser Internetseite hinterlassen hat. Alle *.php und *.html Dateien waren zwar noch vorhanden, allerdings mit neuem Inhalt. Der Hacker hatte wirklich alle Dateien mit seinem neuen HTML Code versehen. Dieses betraf auch die gesamten Dateien der dort installierten phpMyAdmin Version. Nunja, so war jedoch eine Wiederherstellung der Webseite nicht möglich.

Nach dem Telefonat mit dem zuständigen Provider (Webhoster) war mir klar, dass hier eindeutig geschlafen wurde. Dort bekam ich am Telefon die Auskunft, dass jede Webseite im Internet von außen zu manipulieren ist und das unser Kunde nicht der Einzigste ist. Außerdem würde das auch andere Provider betreffen. Komisch, ich hab bis jetzt noch keinen ausfindig machen können. Ich bin der Meinung: Wenn man sich hier regelmäßig um Sicherheitsupdates gekümmert hätte, wäre unser Kunde bei diesem Angriff wohl verschont geblieben. Wahrscheinlich wird er jetzt wohl den Provider wechseln, was wir natürlich sehr befürworten.

Sicherheit bei Webprojekten

13. Oktober 2009 Kommentare ausgeschaltet

Kürzlich bekamen wir einen Anruf eines Kunden der uns auf ein Problem aufmerksam machte. In der Rechteverwaltung des dort eingesetzten CMS konnten nicht öffentliche Seiteninhalte über die interne Webseitensuche gefunden werden. Leider waren dieses Informationen, wie Geburtsdatum und komplette Adressen der dortigen Mitarbeiter. Nach Überprüfung der Quellcodes musste ich feststellen, dass eine derartige Abfrage in den Suchergebnissen noch garnicht vorgesehen war. Der Einbau der Abfrage war an sich kein Problem und war schnell zu lösen. Viel verwunderlicher war, dass nach weiterer Kontrolle der Daten auf dem Webspace ein Ordner mit dem Namen phpmyadmin zu finden war. Mit erstaunen musste ich feststellen, dass dieser direkt und ohne Zugangsdaten erreichbar war. Dieses sind für mich Sicherheitsstandards nach höchstem Maß.

Tipp: Bitte vor Veröffentlichung der Webseite kritische Schwachstellen prüfen!

KategorienPHP Tags: ,