Serversicherheit

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Serversicherheit

      Hallo, ich habe mal eine Frage.

      Wir haben all unsere Scripts für die Datenbank auf einem öffentlichen FTP Server gepackt, den eigentlich niemand kannte.
      Durch die Logs habe ich herausgefunden das ein Paar Scripts, wie zB das Registerscript geladen wurden. In dem Script waren die ganzen MSSQL Daten schon eingetragen.

      Jetzt habe ich eine Frage, kann der Jenige der die Scripts, und damit auch die MSSQL Anmeldedaten hat von außen auf die Datenbank zugreifen? Wenn ja, wie? Und wie kann ich das beheben?

    • Werbung zur Unterstützung des Forums ( Bitte AddBlocker deaktivieren )

    • Sperre die Anmeldung, die im Script stand.
      (Deaktivieren oder gleich löschen) (Was vorraussetzt, dass du danach nen neuen Login erstellst und diesen für die HP benutzt)



      Oder einfach das PASSWORT ändern? :D

      Wenn du es noch sicherer willst, kannst du SQL Server über nen anderen Port laufen lassen (Standard ist 1433 TCP / 1434 UDP).

      (Und solche dürfen ernsthaft Server hosten? >.>)

    • TwiLight;289320 schrieb:

      Sperre die Anmeldung, die im Script stand.
      (Deaktivieren oder gleich löschen) (Was vorraussetzt, dass du danach nen neuen Login erstellst und diesen für die HP benutzt)



      Oder einfach das PASSWORT ändern? :D

      Wenn du es noch sicherer willst, kannst du SQL Server über nen anderen Port laufen lassen (Standard ist 1433 TCP / 1434 UDP).

      (Und solche dürfen ernsthaft Server hosten? >.>)

      Klar das haben wir auch schon alles gemacht. Aber ich meine man kann den Port ja wieder herausbekommen oder nicht?
      Oder angenommen, der Port 1433 ist geschloßen, wird der dann trotzdem für mssql benutzt, oder nicht?

    • TwiLight;289324 schrieb:

      Bei nem Portscan irgendwann schon, aber bei 65k Ports kann es schon ein wenig dauern.

      Wenn die HP auf dem selben Server läuft, kannst du den Port auch einfach dicht lassen (wenn er offen ist, sowieso dumm. :D)

      Ok, das heißt wenn der Port geschloßen ist kann ich auch nicht von außen per MSSQL auf meine Datenbanken die aufem Root sind zugreifen?:

    • <?phprequire_once('API//recaptchalib.php');
      $ip='xxx'; //mssql ip, usually something\SQLEXPRESS
      $usr='sa'; //usually sa
      $pwd='xxx'; //your mssql pass
      $salt='write_'; //your mssql salt(if using serus, salt is serus)
      $pubkey='6LeA5M4SAAAAANlWfW2B8v4rjMAsHSHiueBnppLD '; //your reCaptcha public key
      $privkey='6LeA5M4SAAAAAApk1FLpRpyCJpxGSKVpNug6iWFC'; //your reCaptcha private key.
      $design='red'; //reCaptcha style, found wiki.recaptcha.net/index.php/Theme
      ?>
      <script type="text/javascript">
      var RecaptchaOptions = {
      theme : '<?php echo $design; ?>'
      };
      </script>
      <?php
      $link = @mssql_connect($ip, $usr, $pwd) or die ("Server is down!");
      $db = @mssql_select_db('ACCOUNT_DBF') or die ("Accout table is missing!");
      $b = '';
      $mail = '';
      function doesUsernameExist($name){
      $exit = FALSE;
      $result = @mssql_query("SELECT * FROM ACCOUNT_TBL WHERE account='$name'");
      if (mssql_num_rows($result) != 0){
      $exit = TRUE;
      }
      return $exit;
      }


      if(isset($_POST['submit'])){
      $user = preg_replace ("[^A-Za-z0-9]", "", $_POST['username']);
      $pass = preg_replace ("[^A-Za-z0-9]", "", $_POST['password']);
      $idk=array('"', "'", ';', '-');
      $user = str_replace($idk, '', $user);
      $pass = str_replace($idk, '', $pass);
      $resp = recaptcha_check_answer ($privkey,
      $_SERVER["REMOTE_ADDR"],
      $_POST["recaptcha_challenge_field"],


      $_POST["recaptcha_response_field"]);
      if($_POST['username'] == ""){
      echo '<font color="red">Enter a user.</font><br /><br />';
      }
      else if($_POST['password'] == ""){
      echo '<font color="red">Enter a password.</font><br /><br />';
      }
      else if($_POST['password'] != $_POST['password2']){
      echo '<font color="red">Passwords do not match.</font><br /><br />';
      }
      else if ((strlen($_POST['username']) > 16) || (strlen($_POST['username']) < 3)){
      echo '<font color="red">The user should be 3 to 16 characters.</font><br /><br />';
      }
      else if ((strlen($_POST['password']) > 16) || (strlen($_POST['password']) < 3)){
      echo '<font color="red">The password should be 3 to 16 characters.</font><br /><br />';
      }
      else if($_POST['username'] != $user){
      echo '<font color="red">User with invalid characters.</font><br /><br />';
      }
      else if($_POST['password'] != $pass){
      echo '<font color="red">Password with invalid characters.</font><br /><br />';
      }
      else if(strlen($_POST["recaptcha_response_field"]) == 0){
      echo '<font color="red">Did you forget to enter reCaptcha?</font><br />';
      }
      else if(!$resp->is_valid){
      echo 'You have entered the reCaptcha wrong, reCaptcha said:'.$resp->error;
      }
      else {
      $pass = md5($salt . $pass);
      if(!doesUsernameExist($user)){
      $stmt = mssql_init('createaccount', $link);
      mssql_bind($stmt, '@account', $user, SQLVARCHAR, false, false, 15);
      mssql_bind($stmt, '@password', $pass, SQLVARCHAR, false, false, 36);


      mssql_execute($stmt) or die ("Something went wrong during execution, please contact an


      administrator.");
      mssql_free_statement($stmt);
      echo '<font color="Green">Register Successfull.</font><br /><br />';
      }
      else {
      echo '<font color="red">User already Exists.</font><br /><br />';
      }
      }
      mssql_close();
      }


      echo '<form action="register.php" method="post"><table border=0>';
      echo '<tr><td>Username:</td><td><input type="text" name="username" /></td></tr>';
      echo '<tr><td>Password:</td><td><input type="password" name="password" /></td></tr>';
      echo '<tr><td>Repeat Password:</td><td><input type="password2" name="password2"


      /></td></tr></table>';
      echo recaptcha_get_html($pubkey, $error);
      echo '<br /><input type="submit" name="submit" value="Register" />';
      echo '</form>';


      ?>

      Gibts da irgendwelche Sicherheitslücken? ;&

    • @Extension.


      Lass mich raten,es geht um den Server Lord-of-Dragon aka Spirit of Madrigal aka 11 andere Serven?
      Ich habe euch schon gesagt,dass ihr echt ........ einen an der Marmel habt mal im ernst.
      Wer packt seine Daten und alles auf einem FTP Server ? ... Ihr wundert euch das der Server laggt,die HP der Patcher alles läuft über euren Root und da kommt es halt zu laggs,oder was meinst du?..

      Ich habe euch versucht zu erklären,dass ihr das mit dem FTP Server sein lassen sollt,aber ihr hört nicht,kein Wunder das danach einer einloggt,mit Adminrechten namens IAmAHacker ;))


      @Well:

      /word.


      €DIT:

      Ihr used die HP von Surako,es wurde doch gesagt,dass in den HP's von Surako eine XSS Lücke ist ...

      Allerdings hat Surako auch schon einen Fix dafür,such hier mal rum,dann findest du ihn.

      Die Lücke befindet sich im Ranking :x