gestern wurde auf wwwhack.com/wwwboard bekanntgegeben, daß jemand die Website meiner Firma gehackt hat (der Titel der Erfolgsmeldung war „the GAIA access was hacked“).
Der Hacker ist in einen Bereich eingedrungen, der über .htaccess/.htpasswd geschützt war. Jetzt frage ich mich natürlich, wie dies passieren konnte und was ich am besten unternehmen kann, um so etwas in Zukunft zu verhindern.
Ich hoffe, daß auf keinen Fall der Eindruck entsteht, ich bräuchte diese Informationen, um selber eine Site zu hacken. Ich poste zwar selten hier, aber wer mich aus dem „Programmierung“-Forum kennt, weiß, daß ich mich von Hacken, Virenprogrammierung und Ähnlichem distanziere.
Solte sich also jemand mit Hacken auskennen und mir erklären können, wie ich den Schutz meiner Website verbessern kann, so bitte ich diese Person, sich mit mir per Email in Verbindung zu setzen. So würden eventuell für das Hacken von Sites wichtige Informationen nicht im Forum frei verfügbar.
Der Hacker ist in einen Bereich
eingedrungen, der über
.htaccess/.htpasswd geschützt war. Jetzt
frage ich mich natürlich, wie dies
passieren konnte und was ich am besten
unternehmen kann, um so etwas in Zukunft
zu verhindern.
a) .htpasswd-Dateien außerhalb des per HTTP zugänglichen Filesystems lagern. Die Passwörter allgemein nicht mit dem Passwort als Salt verschlüsseln, sondern ein zufälliges Salt verwenden.
b) Passwörter schon im Klartext kryptisch halten. Ein „Matze“ läßt sich leichter erraten als z.B. „JLPwLoBaW359“. Insbesondere sollten Buchstaben und Ziffern bzw. Sonderzeichen vorkommen, und die Buchstaben sowohl in Groß- als auch in Kleinschrift. So kann ein Hacker schlecht raten.
c) Keine Hintertürchen offen halten, also z.B. nicht per CGI auf die Dateien im geschützten Bereich zugreifen.
d) Den Server so konfigurieren, daß alle „.ht.*“ (RegExp, bzw. „.ht*“ Filepattern) nicht lesbar sind (Deny from all).
e) Wichtige Passwörter mit entsprechenden Rechten nur wirklich vertrauenswürdigen Personen zuteilen.
Für den Anfang sollte das reichen - Hacker bin ich keiner, sehe daher sicher viele Hintertürchen nicht.