Hi,
hauptgrund für dieses Tutorial war, dass ich immernoch sehr viele leichtsinnige Websiten-Betreiber gesehen habe, die einfach eine Software downloaden und sobal die Website läuft sind sie glücklich.
Oft wird Xampp UND Mysql gedownloadet weil Xampp standartgemäß einfach einen User mit den usernamen: "root" und dem pw:"" erstellt,
genau ohne PW. So okay das ist noch halb so wild aber die Betreiber denken sich: Mysql hat ein Passwort und ich bin sicher.
Aber es gibt noch viele weitere gewollte "Sicherheitslücken". Einige fragen sich nun bestimmt: Wieso baut Xampp absichtlich "Sicherheitslücken" rein?
Hier mal ein Zitat aus der readme:
Zitat:Wie schon an anderer Stelle erwähnt ist XAMPP nicht für den Produktionseinsatz gedacht, sondern nur für Entwickler in Entwicklungsumgebungen. Das hat zur Folge, dass XAMPP absichtlich nicht restriktiv, sondern im Gegenteil sehr offen vorkonfiguriert ist. Für einen Entwickler ist das ideal, da er so keine Grenzen vom System vorgeschrieben bekommt.
Für einen Produktionseinsatz ist das allerdings überhaupt nicht geeignet!
Selbst wenn man mit Xampp nur Dateien hostet gibt es immernoch möglichkeiten für noch so talentlose Hacker zugriff auf den ganzen Root zu bekommen, eine Möglichkeit: Webdav.
Wenn man Xampp installiert ist Webdav standartgemäß an, natürlich wird auch automatisch ein User erstellt aber genau DAS wissen sehr viele nicht, obwohl das alles in der "passwords.txt" steht.
Zitat:### XAMPP Default Passwords ###
1) MySQL (phpMyAdmin):
User: root
Password:
(means no password!)
2) FileZilla FTP:
User: newuser
Password: wampp
User: anonymous
Passwort: some@mail.net
3) Mercury:
EMail: newuser@localhost
User: newuser
Password: wampp
4) WEBDAV:
User: wampp
Password: xampp
Bei den 4. Punkt stehen die Daten für eine Webdav verbindung, Webdav ermöglicht einen gemeinsamen Remote-Zugriff auf die Dokumente im www.
Auszug aus einer Xampp Datei:
Zitat:WEB-DAV für den gemeinsamen REMOTE-Zugriff
auf WWW-Dokumente über den Apache2.
Das heißt, jeder könnte ein Programm, wie z.B WebDrive downloaden, sich mit den oben angegebenen Daten einloggen -> Eine Shell Datei hochladen -> Die Config Dateien öffnen und Datenbank Passwörter etc. auslesen. Speziell bei MSSQL könnte man sogar zugriff auf den Root Server bekommen.
Wie schließe ich diese Lücke?
Ganz einfach, öffnet im Ordner: " xampp\apache\conf\" einfach die Datei "httpd.conf" und sucht nach den Zeilen:
"mod_dav.so" und "mod_dav_fs.so"
Diese zeile einfach auskommentieren indem ihr ein # vor der Zeile macht, z.B #blabla mod_dav.so.
ODER:
Wenn ihr dieses Feature nutzen wollt solltet ihr trotzdem das Passwort umändern indem ihr die Datei: "webdav.htpasswd"
im Ordner: "\xampp\security" bearbeitet.
Also grundsätzlich wollte ich damit nur verdeutlichen, dass man nie leichtsinnig sein sollte, wenn eine Website über Xampp läuft.
Ich hoffe das war verständlich.
lg Ich;
Original: coding-community.com/Thread-xampp-sicherheitseinstellungen
Ich weiß, dass nun einige hier rumflamen werden, weil sie pServer nicht mehr so einfach hacken können, wenn mann es so nennen darf.
Nein ich release nicht jeden Scheiß, den ich weiß aber bei diesem Thema wollte ich einfach den pServern helfen, denn es ist nicht so, dass nur kleine kleine Server dadurch gehackt wurden sondern auch pServer giganten.
Ich gönne es einfach jeden, einen guten pServer zu betreiben, wenn man selber einen pServer hat sollte man nicht auf diese Art die Konkurenz ausschalten sondern mit eigenen Modifikationen hervorragen.
lg Ich;