Sicherheitslücken auf Kundenwebseiten

Dieses Thema im Forum "Server Administration" wurde erstellt von robotto7831a, 9. Juli 2015.

  1. robotto7831a

    robotto7831a Member

    Hallo,

    es ist ja nicht auszuschließen, dass auf Kundenwebseiten Sicherheitslücken in CMS Systemen, Wikis und was es sonst noch so alles gibt existieren.

    Jetzt gibt es ja diverse Möglichkeiten um die bekannten Systeme auf aktuelle Versionen zu prüfen und die Kunden darauf hinzuweisen.
    Die beste Reaktion ist natürlich, wenn der Kunde versteht was man möchte aber es gibt sicherlich auch den Fall, dass es keinen richtigen Admin auf Kundenseite gibt oder der Kunde schlichtweg keine Ahnung hat und das System einmalig von einer Marketingfirma erstellt worden ist und seit dem steht es da ohne Systempflege.

    Wenn man im Kundenauftrag die Lücke im CMS, Wiki oder sonst etwas schließt, kann man theoretisch voll in dem Bienenhaufen greifen und zig andere Probleme verursachen weil der neue Quellcode nicht mehr kompatibel ist und dann die Webseite umgebaut werden muss usw. usw.

    Was macht Ihr im Fall von bekannten Sicherheitslücken auf Kundenwebseiten?

    Wie sehen da die Sicherheitsvorkehrungen von ISPConfig aus?
     
  2. nowayback

    nowayback Well-Known Member

    bei dem unternehmen dem ich meine arbeitskraft zur verfügung stelle, prüfen ganz simple shellscripte auf bekannte sicherheitsprobleme. diese scripte werden auch regelmäßig gepflegt und ggf erweitert. zusätzlich bieten wir kunden die möglichkeit an, uns einen account in ihrem cms anzulegen, sofern es eines ist was wir unterstützen, mit dem wir 2x täglich vollautomatisch backups und updates fahren. selbstredend gibt es bei uns auch keine hostingpakete für nen euro oder so, denn damit ließe sich das nicht finanzieren. wir setzen auch noch kein ispconfig ein, sondern eine eigene lösung. wir arbeiten aber seit über 2 jahren daran ispconfig an unsere umgebung anzupassen und planen den produktiven einsatz für ende 2015 oder anfang 2016.
    für cms/webseiten etc. bei denen wir den vollautomatischen updateservice nicht anbieten können, können wir auch wenig tun. Wenn eines unserer scripte verdächtige fragmente findet, gibts ne mail an einen techniker und der kunde wird informiert, das sich der techniker die webpräsenz anschaut. danach schickt der techniker einen bericht an den kunden und passt ggf. die schwellwerte für den kunden an. wenn was gefunden wurde, kann der kunde das problem selbst beheben, oder das durch unsere techniker/programmierer beheben lassen. die eigentliche website wird vorübergehend deaktiviert, der inhalt von einem fehlerfreien backup ausgeliefert bis zu einem bestimmten zeitpunkt. wenn der überschritten ist, ist der internetauftritt nicht mehr erreichbar. das lässt sich leider technisch nicht anders lösen - bisher.
    Für ein- und ausgehende mails kommt policyd zum einsatz. das funktioniert für gewöhnlich relativ gut. bei manchen kunden muss man das limit erhöhen, weil die gerne mal gesammelt mails rausschicken, aber für viele kunden reichen einfache, nicht weiter komplizierte regeln.
    zum thema sicherheit: ispconfig macht das, was man tun kann... wir hatten das thema schon mal hier im forum... musst ma gucken.
     
    Zuletzt bearbeitet: 9. Juli 2015
  3. IP-Projects.de

    IP-Projects.de New Member

    Schwieriges Thema. Bei einer übersichtlichen Menge an Webhosting Paketen kann man natürlich für den Kunden die Wartung der Webseiten mit überwachen und Updates einspielen, bei vielen CMS System kann es aber sein, dass aufgrund von Updates am Ende Designs oder andere Funktionen nicht mehr passen. Man ist damit als Hoster in der Pflicht, diese durch das Update entstandene Fehler zu beheben. Die Kosten die dadurch entstehen können sind eigentlich nicht überschaubar.
    Wir selbst handhaben es so, dass wir auf den Webservern lediglich Scripte betreiben, welche die Webseiten auf Viren prüfen und die prüfen, ob SPAM E-Mails über eine bestimmte Webseite versendet werden. Ist eine Webseite gehacked worden wird die Webseite deaktiviert und der Kunde informiert.
     
  4. nowayback

    nowayback Well-Known Member

    deshalb macht man vorher backups... das zurückspielen ist dann nur ne sache von ein paar minuten. Das es nicht möglich ist, sowas mit low budget angeboten zu finanzieren, schrieb ich auch oben schon. Ist halt alles eine frage der zielgruppe... für leute die ma gerade so nen euro im monat aufbringen können und wollen, kann ich so einen aufwand nicht betreiben. da kostet alleine der strom für die server mehr ;-) als firmenkunde mit großem onlineshop hingegen würde ich anbieter meiden bei denen ich nicht eine gewisse ausfallsicherheit habe (d.h. minimum nen raid 1 und das auf min. 2 servern). wie gesagt... zielgruppe heißt hier das entscheidende zauberwort
     
  5. florian030

    florian030 Member

    Du kannst auch bei einem Backup den Schadcode "wieder" zurückspielen. Wenn eine Seite erstmal betroffen ist, kannst Du i.d.R. die Backups auch vergessen. Es sei denn, die gehen ein paar Monate zurück.
     
  6. robotto7831a

    robotto7831a Member

    Es ging wohl eher um fehlgeschlagene Updates von CMS Systemen. Diese könnte man durch ein Backup von Sourcen und DB Dump wieder in den alten Stand vor dem Update versetzen.
     
  7. nowayback

    nowayback Well-Known Member

    so siehts aus... es lässt sich auch oben rauslesen: "die eigentliche website wird vorübergehend deaktiviert, der inhalt von einem fehlerfreien backup ausgeliefert bis zu einem bestimmten zeitpunkt. wenn der überschritten ist, ist der internetauftritt nicht mehr erreichbar. das lässt sich leider technisch nicht anders lösen "
     

Diese Seite empfehlen