So wurden die ganzen pServer "gehackt" lol

[Dardan]

Hi,

hauptgrund für dieses Tutorial war, dass ich immernoch sehr viele leichtsinnige Websiten-Betreiber gesehen habe, die einfach eine Software downloaden und sobal die Website läuft sind sie glücklich.

Oft wird Xampp UND Mysql gedownloadet weil Xampp standartgemäß einfach einen User mit den usernamen: "root" und dem pw:"" erstellt,
genau ohne PW. So okay das ist noch halb so wild aber die Betreiber denken sich: Mysql hat ein Passwort und ich bin sicher.

Aber es gibt noch viele weitere gewollte "Sicherheitslücken". Einige fragen sich nun bestimmt: Wieso baut Xampp absichtlich "Sicherheitslücken" rein?
Hier mal ein Zitat aus der readme:

Zitat:Wie schon an anderer Stelle erwähnt ist XAMPP nicht für den Produktionseinsatz gedacht, sondern nur für Entwickler in Entwicklungsumgebungen. Das hat zur Folge, dass XAMPP absichtlich nicht restriktiv, sondern im Gegenteil sehr offen vorkonfiguriert ist. Für einen Entwickler ist das ideal, da er so keine Grenzen vom System vorgeschrieben bekommt.
Für einen Produktionseinsatz ist das allerdings überhaupt nicht geeignet!


Selbst wenn man mit Xampp nur Dateien hostet gibt es immernoch möglichkeiten für noch so talentlose Hacker zugriff auf den ganzen Root zu bekommen, eine Möglichkeit: Webdav.

Wenn man Xampp installiert ist Webdav standartgemäß an, natürlich wird auch automatisch ein User erstellt aber genau DAS wissen sehr viele nicht, obwohl das alles in der "passwords.txt" steht.

Zitat:### XAMPP Default Passwords ###

1) MySQL (phpMyAdmin):

User: root
Password:
(means no password!)

2) FileZilla FTP:

User: newuser
Password: wampp

User: anonymous
Passwort: [Um Links zu sehen registriere dich bitte. Klicke hier.]

3) Mercury:

EMail: newuser@localhost
User: newuser
Password: wampp

4) WEBDAV:

User: wampp
Password: xampp


Bei den 4. Punkt stehen die Daten für eine Webdav verbindung, Webdav ermöglicht einen gemeinsamen Remote-Zugriff auf die Dokumente im www.
Auszug aus einer Xampp Datei:

Zitat:WEB-DAV für den gemeinsamen REMOTE-Zugriff
auf WWW-Dokumente über den Apache2.


Das heißt, jeder könnte ein Programm, wie z.B WebDrive downloaden, sich mit den oben angegebenen Daten einloggen -> Eine Shell Datei hochladen -> Die Config Dateien öffnen und Datenbank Passwörter etc. auslesen. Speziell bei MSSQL könnte man sogar zugriff auf den Root Server bekommen.

Wie schließe ich diese Lücke?
Ganz einfach, öffnet im Ordner: " xampp\apache\conf\" einfach die Datei "httpd.conf" und sucht nach den Zeilen:
"mod_dav.so" und "mod_dav_fs.so"
Diese zeile einfach auskommentieren indem ihr ein # vor der Zeile macht, z.B #blabla mod_dav.so.
ODER:
Wenn ihr dieses Feature nutzen wollt solltet ihr trotzdem das Passwort umändern indem ihr die Datei: "webdav.htpasswd"
im Ordner: "\xampp\security" bearbeitet.

Also grundsätzlich wollte ich damit nur verdeutlichen, dass man nie leichtsinnig sein sollte, wenn eine Website über Xampp läuft.
Ich hoffe das war verständlich.
lg Ich;

Original: [Um Links zu sehen registriere dich bitte. Klicke hier.]

Ich weiß, dass nun einige hier rumflamen werden, weil sie pServer nicht mehr so einfach hacken können, wenn mann es so nennen darf.
Nein ich release nicht jeden Scheiß, den ich weiß aber bei diesem Thema wollte ich einfach den pServern helfen, denn es ist nicht so, dass nur kleine kleine Server dadurch gehackt wurden sondern auch pServer giganten.

Ich gönne es einfach jeden, einen guten pServer zu betreiben, wenn man selber einen pServer hat sollte man nicht auf diese Art die Konkurenz ausschalten sondern mit eigenen Modifikationen hervorragen.
lg Ich;

[BL4CK]

nice nice
wenigstens einer davon der hilft statt andere pserver zu zerstören

[DooM]

Sehr gut!
Hoffe dann mal das dieses Gespamme um die hacks aufhört .

mfg DooM

[Clair]

Danke, sehr nice von dir!

[Apocalyptus]

Vielen lieben dank an dich an dieser Stelle.
Da sieht man doch das es immernoch User sind die nicht egoistisch denken und gerne etwas teilen

[~>Cruhl<~]

Eine kostenlose Alternative zu WebDrive wäre Total Commander mit dem WebDav Plugin.
[Um Links zu sehen registriere dich bitte. Klicke hier.]
Ansonsten, Daumen hoch Dardan :D

MFG

[crucki]

Danke, dass du den ganzen Spam hoffentlich mal gestoppt hast ;-)

[aspire]

SUPER GUT :DDD Ich hoffe jetzt wird es soweit sein dass jeder Pserver den andern hackt :D

Idiot ! xD Naja :D Net mein Problem ;)

Und dann hat ers noch nicht mal selber rausgefunden..
Und ich wette das die meisten es trozdem noch nicht peilen :p

Naja dazu sag ich nur, dardan, erst denken, dann posten, sonst wirds schlimm enden, und dass wird sicher hier der Fall sein ;)

[Stefan]

SUPER GUT :DDD Ich hoffe jetzt wird es soweit sein dass jeder Pserver den andern hackt :D

Idiot ! xD Naja :D Net mein Problem ;)

Meine Fresse, denk mal über dein Leben nach und geh dich am besten erhängen...

Lesen ist etwas das man können sollte!

sry -.-

[>flying<]

War ja klar, dardan du bist immernoch derselbe.
Thanksgeil wie sonst jemand.
Natürlich hat jetzt jeder scheiß noob Server wieder einen Schutz.
Boah, da lange ich mir an den Kopf.
(Das zum Thema du releasts nur in deinem Forum)
Und richtig gute und professionelle Pserver nutzen IIS oder wissen sich zu schützen -.-

[Foldercarp]

SUPER GUT :DDD Ich hoffe jetzt wird es soweit sein dass jeder Pserver den andern hackt :D

Idiot ! xD Naja :D Net mein Problem ;)

Und dann hat ers noch nicht mal selber rausgefunden..
Und ich wette das die meisten es trozdem noch nicht peilen :p

Naja dazu sag ich nur, dardan, erst denken, dann posten, sonst wirds schlimm enden, und dass wird sicher hier der Fall sein ;)

Für was hat er recht einen Fix releast lol

Ed:

War ja klar, dardan du bist immernoch derselbe.
Thanksgeil wie sonst jemand.
Natürlich hat jetzt jeder scheiß noob Server wieder einen Schutz.
Boah, da lange ich mir an den Kopf.
(Das zum Thema du releasts nur in deinem Forum)
Und richtig gute und professionelle Pserver nutzen IIS oder wissen sich zu schützen -.-

Ne er ist nur so nett und hilft anderen

[aspire]

Jo und von den ganzen bobs die hier rumgammeln haben keine Ahnung wie man den Fix anwendedt, und dardan ist ja der größte bob xD :D

[>flying<]

Ne er ist nur so nett und hilft anderen

Ist klar..
JEDER VOLLIDIOT, der es verdient hat, einen Server einzurichten,
der kann das von alleine rausfinden, wie er es gemacht hat..
Nur an die fucking Leecher weitergeben - nein Danke.

[bahti]

Jo und von den ganzen bobs die hier rumgammeln haben keine Ahnung wie man den Fix anwendedt, und dardan ist ja der größte bob xD :D

boah junge bis du so eifersuchtig auf dardan?


nice thread

Edit ;@flying lass doch die nub server dich musste es doch am arsch vorbei gehn !?

jeder server fangt mal klein an wenn du was gegen noob server hast spiel einfach nicht auf noob servern

[Ankashi]

das ist alles iwi extrem langweilig wen interessiert es ob ein paar flyff pserver gehackt werden xD