ComputerBase Menü
Aktuelles

Passwörter am Server ändern?

Z

Zirniek

Cadet 1st Year
Registriert
Okt. 2012
Beiträge
12
Hallo

also folgendes Problem: angenommen ich habe mir von einer Person eine Webseite einrichten lassen inkl. Einrichtung des Servers, möchte aber jetzt nach Abschluss der Arbeit dafür sorgen, dass keiner außer mir (und ggf. berechtigten Administratoren) mehr auf das Portal Zugriff hat...

also weder auf die Datenbanken, noch aufs config, noch auf den Server selbst, und das auch nicht durch irgendwelche Hintertüren...

Ich hoffe die Frage klingt nicht blöd aber wer kann mir verraten was man da ggf. wo ändern bzw. berücksichtigen muss?
 
Windows? Linux? Welche Versionen? Habt ihr n Admin, bzw. welcher Provider?? Welche Software?
 
Zuletzt bearbeitet:
sasdensas schrieb:
Windows? Linux? Welche Versionen? Habt ihr n Admin, bzw. welcher Provider?? Welche Software?
Zum Vergrößern anklicken....


Ist eigentlich egal. Wenn jemand schlau genug ist könnte er immer Hintertüren einbauen. Auch sehr gut getarnte.

Zirniek schrieb:
also weder auf die Datenbanken, noch aufs config, noch auf den Server selbst, und das auch nicht durch irgendwelche Hintertüren...
Zum Vergrößern anklicken....

Du mußt dem jenigen trauen. Sonst hast du keine Chance.
 
kommt vor allem drauf an, wo gehostet wird. Angenommen der Betreffende stellt dir auch den Hosting-Platz auf seinem Server zur Verfügung ist es unmöglich, ihn auszusperren.
 
ja...es handelt sich um einen angemieteten Hetzner Root Server, Betriebssystem Linux, Debian 64bit (genaue Version weiß ich jetzt nicht)

Die installierte Software ist grade soeine Sache: Wie finde ich raus was auf dem Server wo für Software läuft?

Ich hab für das Portalsystem einen FTP/SFTP Zugang, ich hab einen PMA Zugang (Zugang zu den Systemdatenbanken) und einen Zugang zu ISP-Config (wo man paar grundlegende Domain /Clienteinstellungen durchführen kann), soweit alles klar, darüber hinaus einen Zugang zum sog. Serverrobot (wird von Hetzner standardmäßig bereit gestellt), wo sich aber auch nur einige Standardeinstellungen festlegen lassen.

Mir ist grad nur etwas schleierhaft wie, wo bzw. mit was man an die eigentliche (Installationsübersicht?) gelangt?

ansonsten hab ich hier noch 2 Passwörter (root passwort und ein webalizer passwort) , ich weiß allerdings nicht für welchen Login man die genau benötigt bzw. wo/wie man diese neu setzen kann...
 
Steht jemand zur Verfügung, der Ahnung davon hat? Ein Admin sollte in der Lage sein, die Zugänge und Passwörter entsprechend zu ändern. Was mir aber momentan Kopfschmerzen bereitet ist, dass Sicherheitskritische Updates eingespielt werden sollten. Wird dies vernachlässigt, freuen sich die Hacker auf eine kostenlose Spamschleuder (Wenn man Glück hat!). Was sprach denn gegen einen Managed Server oder eigentlich besser ein gutes Webspace-Paket?

Zu den Passwörter:
Das Root-Passwort dient für den Login via SSH. Via Putty oder WinSCP kann man sich damit einloggen und auf Betriebssystemebene den Server verwalten. U.A. auch das ändern der Passwörter für MySQL oder welcher Datenbank auch immer. Webalizer ist für die Zugriffs-Statistik der Webseite gut.
 
Zuletzt bearbeitet:
du hast wirklcih für eine einzelne Webseite einen Rootserver?
Das ist:
1.) gefährlich... V- und Rootserver sollte man nur nutzen, wenn man auch weiß was man tut. Sonst öffnest du Missbrauch Tür und Tor, was dich größere vierstellige Summen Schadenersatz kosten kann
2.) verschwenderisch... n reines Hosting würdest du für n Zehntel der Kosten kriegen

Aber ums kurz zu machen: Ändere die Passwörter für ISPConfig, das Root-Passwort, die FTP-PAsswörter, die Datenbank-Passwörter. Schau nach, ob SSH-Keys hinterlegt wurden, über die sich ein Nutzer ohne Passwort authentifizieren kann. Entsorge diese.... und dann hoffe und bete, dass nicht doch irgend wo n Backdoor läuft.

Aber nochmal: Weg mit dem Rootserver. Rootserver sind was für Leute, die entweder selbst viele Webseiten hosten wollen, allgemein viel Power brauchen und spezielle Anforderungen haebn, so wie CB, oder wenn du andere Dienste wie TS oder Gameserver anbieten willst.
 
tztz Daaron lass ihn doch - die Jungs mit den IRC-Bots brauchen täglich "Frischfleisch" ;)
 
Steht jemand zur Verfügung, der Ahnung davon hat? Ein Admin sollte in der Lage sein, die Zugänge und Passwörter entsprechend zu ändern. Was mir aber momentan Kopfschmerzen bereitet ist, dass Sicherheitskritische Updates eingespielt werden sollten. Wird dies vernachlässigt, freuen sich die Hacker auf eine kostenlose Spamschleuder (Wenn man Glück hat!). Was sprach denn gegen einen Managed Server oder eigentlich besser ein gutes Webspace-Paket?
Zum Vergrößern anklicken....

naja dafür würde es ja eigentlich reichen erstmal sichere (unknackbare) Passwörter zu verwenden oder?

ohne Passwort kein Zugriff richtig?

ansonsten würde mich jetzt schon interessieren auf welchen Wegen man sonst noch Zugriff bekommen könnte...??

Ein Admin oder ähnl. steht momentan leider nicht zur Verfügung, (soll sich aber bald hoffentlich wieder ändern) ich denke aber sonst würde ich hier auch nicht fragen. und dass das ganze auf einem Root Server läuft hat aufgrund des Umfang der ganzen Geschichte schon seine Richtigkeit. ein normales webspacepaket käme dafür auf jeden Fall nicht in Frage...

Updates klar ist sicher kein Problem. bekäm ich sicher auch noch hin, müsste jetzt nur ca. wissen was da so regelmäßig geupdatet werden müsste?

Aber ums kurz zu machen: Ändere die Passwörter für ISPConfig, das Root-Passwort, die FTP-PAsswörter, die Datenbank-Passwörter. Schau nach, ob SSH-Keys hinterlegt wurden, über die sich ein Nutzer ohne Passwort authentifizieren kann.
Zum Vergrößern anklicken....

ISP Config, FTP und Datenbankpasswörter sind schon verändert. nur das mit dem root bzw. den SSH-Keys hab ich grad noch nicht ganz kapiert...

wo kann ich das root passwort neu setzen?

bzw. wenn ich richtig verstehe benötige ich zuerst eins der Programme Putty oder WinSCP um in das Installationsmenü / auf Betriebsebene zu geraten?
Ergänzung ()

so hab jetzt erstmal Putty draufgehauen...

scheint eine Art Konsole zu sein

habe nach dem Einloggen jetzt [root@meinedomain ~]# mit der Aufforderung irgendwas einzugeben.

wie geht es jetzt weiter?
 
Ja, jetzt hast du eine Shell geöffnet und bist auf dem Server angemeldet (als root).
Jetzt kannst du dort ganz normal arbeiten. Aber wenn du dich mit Debian nicht auskennst, dir SSH nichts sagt, wie möchtest du denn dann den Server verwalten?

Mein Vorschlag: entweder du liest dich ganz behutsam in die Materie ein (Tipp: das Debian Administrator's Handbook http://debian-handbook.info/) oder du suchst dir vertrauensvoll irgendwo Hilfe.

Wenn du jetzt bei jedem einzelnen Befehl und Programm im Forum nachfragst, dauert es sicher nicht lange, und irgendein Spaßvogel überzeugt dich davon, dass du mit "XXX" das System updaten kannst und dabei löschst du den ganzen Server.
 
Z.B.:
passwd + [enter] um das Rootpasswort zu ändern.

Mehr Infos findeste im Netz. Oder besorg dir ein gutes Linuxbuch zum nachschlagen
 
Vielleicht solltest du dir schon einmal überlegen ob das nicht eine Nummer zu groß ist für dich. Viel Linux-Wissen scheint ja bei dir nicht vorhanden zu sein (bitte nicht böse verstehen - ist ehrlich gemeint).

Wenn du es dir doch zutraust solltest du dich mal über die Haftungsfragen informieren. Die dann möglicherweise auf dich zukommen. Einen root-Server direkt im Internet zu betreiben ist keine kleine Sache. Und wie heißt es so schön? Unwissendheit schützt vor Strafe nicht.
 
ich weiß nicht vielleicht wär es möglich mir noch etwas mehr Details über diese "Gefahren" zu verraten?

wie wahrscheinlich ist das Eintreten dieser?

und für was müsste ich genau haften?

so ganz konkret verstanden hab ich das nämlich noch nicht...

und es kann schon sein, dass ich mich nicht mit Linux auskenne, (und ich weiß auch nicht wie lange es dauert sich in die notwendige Materie einzuarbeiten?) aber dafür kann ich ja dann sicher zur Not auch einen Linuxexperten engagieren? Die Frage ist natürlich ab welcher Projektgröße das Ganze überhaupt relevant bzw. gefährlich wird...

Einige Sicherheitsvorkehrungen wurden von dem Webseitenersteller ja bereits getroffen. Er hat mir zumindest alles mögliche über zig behobene Sicherheitslücken und so ähnl. berichtet.

momentan ist das ganze Projekt aber grade mal am Starten...

zu den Passwörtern: die hab ich jetzt erstmal alle verändert. nur bei dem Rootpasswort gibt es ein kleines Problem. So wie es aussieht hat der Programmierer nämlich eins (oder mehrere) eigene Rootlogins... meine frage: wie (Befehl?) kann ich nun herausfinden wieviel Rootzugänge es gibt und diese zusätzl Passwörter ggf. löschen?
 
Welche "Gefahren" es gibt? Dazu gibt es ganze Buchreihen oder spezielle Websites, die die Gefahren aufzeigen. Also sie sind sehr vielfältig. Das fängt mit einer schlechten Programmierung eigener Software, bzw. wo nur ein rudimentäre Teil für die Sicherheit Platz findet, über zu Schwachstellen der Serversoftware (Stichwort 0day), bis hin zu Social Engineering. Eine gute Möglichkeit wäre, selbst zu versuchen, von aussen oder innen Zugriff in unberechtigte Bereiche des Servers zu kommen. Quasi wie ein Hacker zu agieren. Nicht umsonst werden ehem. Hacker als Security Manager in großen Unternehmen eingesetzt.
Hat jemand den Server unter Beschlag, kann er sonst was mit anstellen. Das ist ebenso vielfältig wie es Schwachpunkte gibt. Stell Dir vor jemand hostet eine Kinderpornografische Seite auf deinem Server und Du merkst es erst, wenn die Kripo vor deiner Tür steht, die dir zeigen müssen, wie man an die Log-Dateien kommt? Oder hast ein Online-Shop und der Angreifer zwackt sich die Kundendaten ab, bzw. leitet Zahlungen auf sein Konto weiter?
Und Du machst Dir Sorgen über irgendwelche Passwörter und weißt noch nicht mal Ansatzweise die Grundlagen eine Unix-Systems?

EDIT: so, gerade gesehen: https://www.computerbase.de/forum/t...es-audio-videostream-download-portal.1128754/ . Was red ich mir den Mund fusselig, dass sagt ja schon alles...
 
Zuletzt bearbeitet:
Zirniek schrieb:
ich weiß nicht vielleicht wär es möglich mir noch etwas mehr Details über diese "Gefahren" zu verraten?
Zum Vergrößern anklicken....
Angriffsvektoren gibt es wie Sand am Meer.
Aber nehmen wir als Beispiel mal Gefahren der alltäglichsten Sorte:

- dein Mailserver (läuft sicherlich einer drauf) könnte als Open Relay laufen. Das wiederum können Spammer ausnutzen, um über dich Spam zu verschicken. Passiert das, landen die Abmahnungen bei DIR. Wir reden hier von einigen hundert Euro pro Abmahnung, und du wirst im Zweifel locker 100 Abmahnungen kassieren, bevor du den Fehler bemerkst.

- dein BIND9 - Dienst (DNS) wurde nicht sauber konfiguriert. Er kann von bösen Personen für Denial of Service - Attacken verwendet werden. Resultierende Abmahnungen landen natürlich bei dir. Oh... und auch die strafrechtlichen Konsequenzen...

- dein Rootzugang wird kompromittiert, z.B. über Sicherheitslücken im Web- oder Datenbankserver... dein Server kann für alles mögliche verwendet werden. Spamversand ist noch das harmloseste, das schlimmste dürften Kinderpornos sein. Da würdest du mit viel Glück wohl mit ner Bewährungsstrafe davon kommen.

wie wahrscheinlich ist das Eintreten dieser?
Zum Vergrößern anklicken....
Och... ich seh auf jedem unserer Webserver so grob übern Daumen einige hundert Versuche, via Brute-Force-Attacken Zugang zu verschiedenen Diensten (vor allem natürlich SSH) zu erlangen... täglich. Bzw. ich würde sie sehen, wenn ich die Schutzmechanismen gegen B-F nicht aktiv hätte.

und für was müsste ich genau haften?
Zum Vergrößern anklicken....
Quasi alles... Stichwort Störerhaftung.

und es kann schon sein, dass ich mich nicht mit Linux auskenne, (und ich weiß auch nicht wie lange es dauert sich in die notwendige Materie einzuarbeiten?) aber dafür kann ich ja dann sicher zur Not auch einen Linuxexperten engagieren? Die Frage ist natürlich ab welcher Projektgröße das Ganze überhaupt relevant bzw. gefährlich wird...
Zum Vergrößern anklicken....
Mal zur Gefahr... Ich hab letzten Herbst einen neuen Webserver bei uns in Betrieb genommen. Innerhalb von grob ner Woche fingen die ersten Versuche für Brute-Force - Angriffe an. Noch Fragen zur Gefahr?
Und ja, du solltest DEFINITIV einen erfahrenen Linux - Serveradmin engagieren. Oder du nimmst einen Managed V-Server statt eines Rootservers. Weniger Rechte, aber viel weniger Pflichten.

Einige Sicherheitsvorkehrungen wurden von dem Webseitenersteller ja bereits getroffen. Er hat mir zumindest alles mögliche über zig behobene Sicherheitslücken und so ähnl. berichtet.
Zum Vergrößern anklicken....
Es tauchen aber permanent neue auf.

zu den Passwörtern: die hab ich jetzt erstmal alle verändert. nur bei dem Rootpasswort gibt es ein kleines Problem. So wie es aussieht hat der Programmierer nämlich eins (oder mehrere) eigene Rootlogins... meine frage: wie (Befehl?) kann ich nun herausfinden wieviel Rootzugänge es gibt und diese zusätzl Passwörter ggf. löschen?
Zum Vergrößern anklicken....
Über "less /etc/passwd" (ohne " ") kannst du sicher erfahren, was für User-Accounts im System existieren. Viele Accounts gehören aber Programmen.

Außerdem existiert definitiv noch der Weg über die Authorized Keys... Wirf einen Blick in folgende Datei:
~/.ssh/authorized_keys
Diese SSH-Keys dürfen sich ohne Passwort als der aktuelle User einloggen.
 
- dein Mailserver (läuft sicherlich einer drauf) könnte als Open Relay laufen. Das wiederum können Spammer ausnutzen, um über dich Spam zu verschicken. Passiert das, landen die Abmahnungen bei DIR. Wir reden hier von einigen hundert Euro pro Abmahnung, und du wirst im Zweifel locker 100 Abmahnungen kassieren, bevor du den Fehler bemerkst.

- dein BIND9 - Dienst (DNS) wurde nicht sauber konfiguriert. Er kann von bösen Personen für Denial of Service - Attacken verwendet werden. Resultierende Abmahnungen landen natürlich bei dir. Oh... und auch die strafrechtlichen Konsequenzen...
Zum Vergrößern anklicken....

naja das klingt ja alles schön übel... werd ich dann wohl einen dauerhaften Sicherheitsexperten einstellen müssen, wobei ich natürlich hoffe das dieser nicht extrem kostet?

aber ich muss auch sagen, dass in den 4 Jahren wo ich und Kollegen von mir schon Root Server (mit unterschiedlichen Webseitendiensten) betreiben außer nem kleinen Hackerangriff mitte 2009 bei einem der Server bis heute nicht viel passiert ist.

das wg. Open Relay wurde meines Wissens noch vor kurzem auf Sicherheitslücken getestet... wie oft muss denn da so ca. geprüft oder geupdatet werden?

BIND9 wird (nachdem was ich da grade so drüber gelesen hab) zumindest auf mein Server meines Wissens garnicht verwendet

brute force Angriffe sollten (bei der Länge der Passwörter) ebenfalls kein Thema sein.

gut ich bin wie gesagt kein Linuxexperte, aber wenn das alles tatsächlich so einfach ist (ihr scheint euch ja zumindest ganz gut mit diesen Methoden auszukennen??) müssten dann nicht ständig Mio von Server und Onlinedienste im Internet down sein, virenverseucht oder durch irgendwelche massiven illegalen Aktivitäten geschändet werden?

Die hälfte aller Internetnutzer -mal angenommen dass es nur bei einem Bruchteil aller Server irgendwelche Sicherheits oder Betriebslücken gibt- müsste ja so gesehen schon mindestens mit einem Fuß im Knast sitzen...nicht?
 
Zirniek schrieb:
naja das klingt ja alles schön übel... werd ich dann wohl einen dauerhaften Sicherheitsexperten einstellen müssen, wobei ich natürlich hoffe das dieser nicht extrem kostet?
Zum Vergrößern anklicken....
Mal sehen... fähige Linux-Admins haben in der Regel wenigstens einen Bachelor, eher einen Master oder Dipl. Ing.. Die kannst du nicht mit 30k/Jahr abspeisen, eher das Doppelte.

gut ich bin wie gesagt kein Linuxexperte, aber wenn das alles tatsächlich so einfach ist (ihr scheint euch ja zumindest ganz gut mit diesen Methoden auszukennen??) müssten dann nicht ständig Mio von Server und Onlinedienste im Internet down sein, virenverseucht oder durch irgendwelche massiven illegalen Aktivitäten geschändet werden?
Zum Vergrößern anklicken....
Wie einfach es ist, Webseiten und -server anzugreifen sollte dir durchaus bewusst sein. Dieses Jahr wurden z.B.:
- wetter.com als Virenschleuder verwendet
- alle Seiten von Computec Media (PCGames, Gamestar,...) manipuliert
- mal wieder ne Sony-Seite nebst Datenbank erledigt
- Mr. Spex gehackt -> ungehashte Kundenpasswörter waren die Beute
- irgendwie (noch is nich klar wie) das Installationspaket von Piwik (eine freie Zugriffsanalyse, ähnlich Google Analytics) so manipuliert, dass es als Backdoor fungierte
- die Linux Kernel Sources auf kernel.org manipuliert
....

Die hälfte aller Internetnutzer -mal angenommen dass es nur bei einem Bruchteil aller Server irgendwelche Sicherheits oder Betriebslücken gibt- müsste ja so gesehen schon mindestens mit einem Fuß im Knast sitzen...nicht?
Zum Vergrößern anklicken....
Nicht jeder Internetbenutzer hat ein Problem. Nicht einmal jeder Besitzer einer Webseite hat ein Problem. Probleme haben die, die Server betreiben.
 
Daaron schrieb:
Mal sehen... fähige Linux-Admins haben in der Regel wenigstens einen Bachelor, eher einen Master oder Dipl. Ing.. Die kannst du nicht mit 30k/Jahr abspeisen, eher das Doppelte.
Zum Vergrößern anklicken....

Ich denke auch eher einiges oberhalb von 50k€ im Jahr. Und das ist ein Vollzeitjob eher für mehrere Leute und dann rund um die Uhr ...
 
Mal sehen... fähige Linux-Admins haben in der Regel wenigstens einen Bachelor, eher einen Master oder Dipl. Ing.. Die kannst du nicht mit 30k/Jahr abspeisen, eher das Doppelte.
Zum Vergrößern anklicken....

jetzt werd ich aber neugierig...

wie umfangreich ist die Instandhaltung eines einzelnen Servers denn so? und wozu brauch ich n Master geschweige Diplom Ing.?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Rollensatz
Nach Chrome Stillstand alle Passwörter im Passwortmanager weg..
Antworten
10
Aufrufe
1.920
Rollensatz
Rollensatz
Frank
News skibidi statt maria: Generationenvergleich der beliebtesten Passwörter 2025
5 6 7
Antworten
137
Aufrufe
8.244
derfreak
derfreak
P
Sollte man in Indien in öffentliche WLAN Hotspots Homebanking nutzen? Passwörter
3 4 5
Antworten
85
Aufrufe
4.348
Binge-Watcher
Binge-Watcher
NameHere
16 Milliarden Passwörter von Apple, Facebook, Google und anderen geleakt
2
Antworten
28
Aufrufe
3.687
NameHere
NameHere
C
Samsung A56 speichert keine Passwörter bei Apps
Antworten
7
Aufrufe
911
Computerlein47
C
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 171 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz