Editorial

(Un-)Frei(willig) zugänglich

Ein Internetauftritt ist für Firmen heute eine Selbstverständlichkeit, doch gilt es beim Betrieb der entsprechenden Server einiges zu beachten. Im September ... (mehr)

Interaktive Online-Inhalte gehören heute ebenso zum Standard wie IP-basierte Kommunikation. Doch einmal nicht aufgepasst und wir sind fällig. Nun gut, nicht wir direkt, aber unser Webauftritt, unsere Onlinedatenbanken oder unsere Collaboration-Umgebung. Ein Paradebeispiel hierfür bietet das zu Recht überaus beliebte WordPress. Darauf aufbauende Webseiten mutieren immer wieder zu Malware-Schleudern und Hacker haben allzu oft leichtes Spiel; die Nachrichten dazu reißen nicht ab. Schuld daran sind in der Regel veraltete Plug-ins mit deftigen Schwachstellen oder eine fehlerhafte Konfiguration, etwa in Form einfacher Standardpasswörter.

Ein aktuelles Beispiel bietet das verwundbare Newsletter-Plug-in, über das Angreifer sich Admin-Zugang erschleichen und Hintertüren installieren konnten. Geschätzt 150.000 Seiten waren Anfang August noch verwundbar. Oder das Facebook-Chat-Plug-in, das Man-in-the-Middle-Angriffe ermöglichte. Betroffen: Mehr als 80.000 Installationen, davon 50.000 Anfang August noch verwundbar – eine Spielwiese für Hacker.

Dass die sich nicht zweimal bitten lassen, bewies eine großangelegte Attacke Ende Mai auf immerhin 1,3 Millionen Seiten. Dabei versuchten die Angreifer, mittels Cross-Site-Scripting an die interne Konfigurationsdatei "wp-config.php" zu gelangen und somit Datenbankzugänge abzugreifen. Von einem Katz-und-Maus-Spiel kann da keine Rede mehr sein, vielmehr tobt ein regelrechter Krieg im Netz. Lücken in der Verteidigung führen schnell zu einer schmerzvollen Niederlage.

Dies mag für ein florierendes und offenes Ökosystem wie WordPress mit unzähligen Drittanbieter-Plug-ins natürlich noch mehr gelten als für ein relativ statisches Websystem aus einer Hand. Doch lauern auch hier Fallstricke allerorten. Fehlerhaft konfigurierte Datenbanken in der Cloud mit frei zugänglichen, vertraulichen Daten sind derzeit beispielsweise der zweite große Renner im Netz. Dies und Lücken in Unternehmens-Webservern wie Microsoft IIS treffen dann auch große Firmen empfindlich.

In unserer September-Ausgabe zeigen wir Ihnen ab Seite 86, wie Sie die Internet Information Services absichern. Auch lesen Sie, wie Sie Webapplikationen sinnvoll überwachen (Seite 60) und ab Seite 74, wie Sie nginx richtig administrieren. In den Produkttests übt sich nicht zuletzt die Barracuda Web Application Firewall auf Seite 30 in Sachen Hackerabwehr.

Bleiben Sie up to date und natürlich gesund. Ihr

Daniel Richey

Stellv. Chefredakteur, Chef vom Dienst

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020