Forensoftware und Security

Möchtet ihr nicht mal "ServerTokens Prod" in der Apache-Config und "expose_php=0" in der php.ini setzen anstatt mit jedem Request eure exakte Software-Version rauszublasen und so jedem Security-Scanner in den AW-Headern zum Frass vorzuwerfen wenn ihr schon den Server nicht regelmässig aktualisiert?

Und ja das ist bei einem Forum wo User ihre Passwörter eintippen relevant und wird von vielen vielen Presseartikeln zumindest der letzten 2 jahre auch ausführlich erklärt (Nicht wie man es versteckt oder aktualisiert aber zumindest was die Folgen sind)

Debian -- Details of package php5 in squeeze
Paket: php5 (5.3.3-7+squeeze13) [security]

_____________

Eure Software:

Server: Apache/2.2.16 (Debian) PHP/5.3.3-7+squeeze6 with Suhosin-Patch mod_python/3.3.1 Python/2.6.6 mod_ssl/2.2.16 OpenSSL/0.9.8o
X-Powered-By: PHP/5.3.3-7+squeeze6

Ich denke es wäre angebrachter gewesen Sicherheitsrelevante Dinge an das Android-Hilfe Team zu schreiben anstatt es öffentlich im Forum zu posten.Die Gründer und Betreiber dieses Forums werden sicher alles mögliche für unsere und deren Sicherheit tun und getan haben.Und wenn Du soviel Ahnung hast von Sicherheit im Web dann bewirb Dich doch als Sicherheitsberater beim Android-Team oder eröffne Deine eigene Firma für Websicherheit.Ist nicht böse gemeint aber Deinen Beitrag finde ich unnötig gerade auch weil er öffentlich ist.

Mfg. "D"

Vor allem was hat das mitm S3 zu tun?
Kann man sich ned im richtigen Bereich "wichtig" tun? (bzw. ned so geräteorientiert)

[quote="D";3821740]Ich denke es wäre angebrachter gewesen Sicherheitsrelevante
Dinge an das Android-Hilfe Team zu schreiben anstatt es öffentlich im Forum zu
posten.
[/quote]

Wozu? Sieht doch jeder Robot und Client ohnehin ungefragt
Glaubst du nicht?

Na was glaubst du wohl wo Netcraft die Daten hernimmt?
http://toolbar.netcraft.com/site_report?url=https://www.android-hilfe.de

Und jetzt darfst du mal raten was vollautomatische Bots machen die verwundbare
Server im Netz suchen, nene die lesen keine Forenbeiträge, die lesen Header

[quote="D";3821740]
Die Gründer und Betreiber dieses Forums werden sicher alles mögliche
für unsere und deren Sicherheit tun und getan haben.
[/quote]

Bruhaha i see

expose_php habe ich das erste mal vor mer als 10 Jahren
auf meinem ersten PC ausgeschalten nachdem ich mich eine
Woche mit PHP beschäftigt habe

[quote="D";3821740]
Und wenn Du soviel Ahnung hast von Sicherheit im Web dann bewirb Dich doch als S
icherheitsberater beim Android-Team oder eröffne Deine eigene Firma für
Websicherheit.
[/quote]

Mein Job ist CTO/CISO, alos nein ich muss mich nirgends bewerben

[quote="D";3821740]
Ist nicht böse gemeint aber Deinen Beitrag finde ich unnötig gerade auch weil er öffentlich ist.
[/quote]

Ach manche brauchen dass damit sie reagieren
Die 2 Settings dauern exakt 10 Sekuden samt "apachectl graceful"
OK, hie rnicht weil imme rnoch volle HTTP-Header....

Ist ja nicht so dass die 7 PHP-Updates zwischn Debian aktuell
und installiert alle gestern raus gekommen sind und dass man
nicht eine vollständige Liste seiner Serversoftware mit der
exakten Version bei jedem Request rausbläst sollte jedem
Anfänger klar sein und wenn nicht Finge wer von Servern

...

BTW:
nmap-Scan:
Uptime guess: 39.920 days (since Wed Jun 27 13:17:23 2012)

/etc/sysctl.conf: net.ipv4.tcp_timestamps = 0
Danach sysctl -p

Ja so Dinge können in Kombination mit Info-Leaks gefährlich werden
Kritische Kernel-Lücke bekannt, exakte OS-Version + Uptime und schon weiss jeder Bot welche Exploits greifen

Alleine das rausblasen von "Hier läuft Debian" wäre zB als der OpenSSL-Gau bekannt wurde ein fertiger root-Exploit gewesen weil damit ziemlich schnell klar wird dass ein verwundbares SSH-Cert in Vewendung ist

ich hab zwar keine ahnung von dem ganzen, aber ich finde es trozdem wichtig, dass so etwas beachtet wird. und das wer darauf hinweisst, finde ich nicht schlecht.

rhsoftware schrieb:

Möchtet ihr nicht mal "ServerTokens Prod" in der Apache-Config und "expose_php=0" in der php.ini setzen anstatt mit jedem Request eure exakte Software-Version rauszublasen und so jedem Security-Scanner in den AW-Headern zum Frass vorzuwerfen wenn ihr schon den Server nicht regelmässig aktualisiert?

Und ja das ist bei einem Forum wo User ihre Passwörter eintippen relevant und wird von vielen vielen Presseartikeln zumindest der letzten 2 jahre auch ausführlich erklärt (Nicht wie man es versteckt oder aktualisiert aber zumindest was die Folgen sind)

Debian -- Details of package php5 in squeeze
Paket: php5 (5.3.3-7+squeeze13) [security]

_____________

Eure Software:

Server: Apache/2.2.16 (Debian) PHP/5.3.3-7+squeeze6 with Suhosin-Patch mod_python/3.3.1 Python/2.6.6 mod_ssl/2.2.16 OpenSSL/0.9.8o
X-Powered-By: PHP/5.3.3-7+squeeze6

Zum Vergrößern anklicken....

Wende dich bitte mit deinem Anliegen an unseren Administrator: Android-Hilfe.de - Profil ansehen: ses

Ähm mit Verlaub aber ihr werdet ja wohl in der Lage sein eueren eigenen Admin selbst zu kontaktieren, ein simpler Security-Scan mit Nessus oder OpenVAS welchen mat heutzutage als Admin tunlichst regelmässig selbst machen sollte kommt zum selben Schluss ohne externes zutun

Sorry rhsoftware aber deine agressive Haltung kann ich nicht nachvollziehen,du wurdest doch nur sachlich darauf hingewiesen dich an den Admin zu wenden denn nur der kann was machen.Dann mach es doch lieber auf diesem Weg vlt.findet ihr einen gemeinsamen Weg und eine Lösung denn wie du weißt niemand ist perfekt wir machen alle Fehler oder vergessen was.Dazumal solltest du wissen wenn du Nessus gegen ein anderes System einsetzt und nicht für dein eigenes das du dich strafbar machst!!! Aber was rede ich das weißt du ja bestimmt alles schon.

Mfg."D"

Hat er schon partiell

* PHP-Version wird nicht mehr rausgeblasen
* OS-Version udn sonstige Libraries auch nicht
* ServerTokens hat er offenbar auf "OS" statt "Full" reduziert
Ergibt zumindest nur mehr Apache/2.2, "Prod" wäre einfach nur Apache

Die aggresive Haltung kommt daher dass man diese dämliche Haltung von wegen "Wage es ja nicht einen Thread aufzumachen" mit einem dämlichen Screenshot der Google-Suche zum Wort "Suchfunktion" beantwortet, den Thread schliesst und auf den Hinweis dass das reichlich lächerlich ist sich in einer PN für den Fheler entschuldigt und die Korrektur in einem grossen roten Kreis um die Trefferanzahl des Suchbegriffs "Suchfunktion" daher kommt

Sorry, aber wenn man sich als Forenbetreiber so präpotent gibt sollte man seine Hausaufgaben machen oder sich fragen warum kein anderes Forum so gestört mit einem neuen Trhead umgeht

Der ursprüngliche Beitrag von 17:42 Uhr wurde um 17:44 Uhr ergänzt:

[quote="D";3825113]Dazumal solltest du wissen wenn du Nessus gegen ein anderes System einsetzt und nicht für dein eigenes das du dich strafbar machst!!![/quote]

Dummerweise braucht man für das was ich hier gemeldet habe kein Nessus sondern eine stinknormale Firefox-Extension die nichts anderes macht als die Header die der Server sendet einfach anzuzeigen

Der Hinweis war so zu verstehen dass wenn man sich schon nicht die Mühe macht seine Kisten abzusichern und selbst zu schauen man zumindest mal einen automatischen Security-Scan machen könnte

@rhsoftware,

Gut, nun ist denke ich alles gesagt und du hast uns nun bewiesen das du Experte bist in deinem Fach und weißt von was du redest.Wäre es denn nun möglich wieder "runterzukommen" Ich glaube wir haben es alle verstanden was du meinst und wie du ja schon geschrieben hast hat unser Admin was dagegen getan.Und trotzdem ist es nicht nötig das im Forum öffentlich zu machen da unser Admin sich mit ziemlicher Sicherheit bei dir gemeldet hätte wenn du ihm das per Pn geschrieben hättest.

kann es sein, dass du hauptsächlich auf deine Firma verweisen willst?

@marc132,

Könnte natürlich möglich sein man weiß es ja nicht Die Frage kann uns nur rhsoftware beantworten.

marc132 schrieb:

kann es sein, dass du hauptsächlich auf deine Firma verweisen willst?

Zum Vergrößern anklicken....

Nö kann es gar nicht weil weder in meinem Nick noch in meinem Profil der geringste Hinweis auf die Firma für die ich arbeite enthalten ist noch ich/wir Lust haben uns um die Security von Fremdsystemen zu kümmern weil das nicht unser Job ist, ich bin zuständig für Performance und Security der eigenen Infrastruktur und sonst nichts

Ich weiss lediglich wie Hacker anfällige Systeme finden, wie professionelle Security-Audits ablaufen und ab welchem Level (der hier gegeben war) ich von Kunden ein "sofortiges vom Netz nehmen bis behoben" zurückbekommen würde

ich hab mal deine firma gegoogelt

marc132 schrieb:

ich hab mal deine firma gegoogelt

Zum Vergrößern anklicken....

Bruhahaha nach was hast du denn gegoogelt?
Komm schon Butter bei die Fische!

rhsoftware schrieb:

Sorry, aber wenn man sich als Forenbetreiber so präpotent gibt sollte man seine Hausaufgaben machen oder sich fragen warum kein anderes Forum so gestört mit einem neuen Trhead umgeht

Zum Vergrößern anklicken....

Und deshalb hier so eine Art Racheakt - wegen eines möglichen (!) Fehlverhalten eines Moderators? Warum klärst du das mit dem/den Betroffenen nicht, wie es unter Erwachsenen eigentlich normal wäre? Sorry, aber so ein Verhalten ist einfach nur kindisch...

Lion13 schrieb:

aber so ein Verhalten ist einfach nur kindisch...

Zum Vergrößern anklicken....

Genauso wie jeden anpflaumen er möge gefälligst die Suchfunktion benutzen und sich durch seitenlange teils ältere Threads quälen deren Infogehalt ggf. nicht mal mehr aktuell ist anstatt einfach eine Frage zu stellen und eine aktuelle AW zu bekommen

Oh ja - der böse Junge da hat mir mein Eimerchen geklaut und mir mit dem Schäufelchen auf den Kopf gehauen...

-> geschlossen! Falls 'ses' hierzu noch Stellung beziehen will, wird er das sicherlich tun.