Gelöst: Kein Webmin-Zugriff auf MySQL-Dienst

[DeletedUserReAsG]

Der Fehler lag in meinen Augen darin, dass das MySql-Passwort nicht mit dem Root-Passwort übereinstimmte.

In meinen Augen wäre es ein Fehler, wenn MySQL- und Root-Passwort übereinstimmen würden.

Obwohl ich mich frage, warum mir Hetzner dann einen in Euren Augen unsicheren Server verkauft.

Sie verkaufen dir gar nichts. Sie vermieten dir die Hardware und bauen auf Wunsch ein aus eigener Kraft lauffähiges System drauf. Dein Job ist es, das deinen Bedürfnissen anzupassen und abzusichern. Ich persönlich halte es für eine gute Praxis, nach dem Übernehmen einer solchen Maschine erstmal alles wegzumachen (mit dd if=/dev/zero of=/dev/sd[abcd…] – dann weiß man gleich, ob die HDDs okay sind) und ein den eigenen Ansprüchen entsprechendes System von Grund auf neu aufzusetzen.

[Blackbox]

Der Fehler lag in meinen Augen darin, dass das MySql-Passwort nicht mit dem Root-Passwort übereinstimmte.

Das Kennwort der Datenbank sollte immer unterschiedlich, zum Kennwort des Root-Kontos sein!

Ich schließe mich meinen Vorpostern an, du solltest mit deinem Kenntnisstand keinen Server betreiben, der am Internet hängt.
Hetzner hat dir keinen unsicheren Server verkauft - zumindest nicht unsicherer, als bei anderen Hostern - , sondern du hast mit deiner Ahnungslosigkeit den Server erst unsicher gemacht (konfiguriert).

Bei dieser Gelegenheit gibt es wie immer von mir, meine zwei Lieblingsseiten zum Thema.
Viielleicht fällt dir durch die Links auf, wie grob fahrlässig du dich verhältst?

• http://www.krawallursache.de/verschiede ... kein-plan/
• http://serverzeit.de/tutorials/admins-haften

[Matthiasss]

Laut Hetzner ist das MySql-Passwort bei der Auslieferung das gleiche wie das Root-Passwort. Aus urinstinktiver Logik habe ich es bei dieser Gelegenheit gleich in ein anderes geändert. Womit also verhalte ich mich GROB fahrlässig? Dadurch, dass ich das Teil miete (ich weiß, dass ich da nichts kaufe, danke) und nicht sofort die Platte formatiere? Ist das Euer Ernst? Ehrlich?

Was GENAU an diesem Server ist seit der Auslieferung an mich unsicher (außer die vorhandene Installation von Webmin)? Möchte jemand die IP wissen und mir zeigen wie einfach es ist, den derzeitigen Stand zu hacken? Kein Problem, danach kann ich ja immer noch die Platte formatieren, wenn Euch das beruhigt. Also ganz ehrlich: Wer möchte? Wer mir eine txt-Datei mit seinem Mitgliedsnamen ins Root-Verzeichnis legt, bekommt von mir eine Belohnung per PayPal.

[DeletedUserReAsG]

Dadurch, dass ich das Teil miete (ich weiß, dass ich da nichts kaufe, danke) und nicht sofort die Platte formatiere? Ist das Euer Ernst? Ehrlich?

Dadurch, dass du so ein Teil mietest, obwohl dir augenscheinlich das Grundlagenwissen dazu fehlt, und dadurch, dass du Webmin drauf hast (solange du nicht schreibst, dass es so konfiguriert ist, dass es nur von innen, also via ssh-Tunnel o.ä. erreichbar ist, gehe ich davon aus, dass es öffentlich erreichbar ist – und das ist nunmal grob fahrlässig). Im Ernst. Echt. Ehrlich. Fällt’s dir so schwer, Kritik anzunehmen?

Leider habe ich kein PayPal, und werde mir das für den Gegenwert einer Packung Kekse auch nicht holen. Auch bedarf es der Schriftform (also so richtig auf Papier, mit Unterschrift und so), um da einigermaßen rechtssicher agieren zu können.

Aber die IP kannste trotzdem mal geben – sobald die dann in meinen Logs als potentiell angreifend auftaucht, weiß ich ja, von wem ich ’ne kostenpflichtige Unterlassungserklärung anfordern kann …

[uname]

So schlimm sind v- und root-Server auch nicht. Millionen von Windows-Spamschleudern haben heute auch VDSL-Anbindung und werden über C&C-Server ferngesteuert. Somit alles gut.

[DeletedUserReAsG]

Kein ordentlicher Mailprovider nimmt heute noch Mails von Dialup-Verbindungen an. Ein gemieteter Server mit fester IP ist mehr wert, als tausend Dialup-Zombies.

Ich sag’s mal so: mittlerweile stehen ganze Ranges von Serverprovidern in Blacklists, gerade weil es zuviele Leute gibt, die meinen, mit einem oder zwei Klicks ist die Kiste administriert, deren Server dann Spam oder sonstiges mit 100MBit/s raushaut, und die das noch nicht mal merken – weil keiner ihnen von Logs und netstat und top und dem ganzen Kram erzählt hat, und ihr Webmin/Plesk/wasauchimmerfür’nMüll das nicht anzeigt!

[TRex]

Jetzt beruhigt euch alle mal wieder - wärs so einfach, nen Server grundlegend zu kapern, wär jeder zweite offen. In der Realität dauerts etwas, bis eine Sicherheitslücke bekannt wird. Die wird dann in den dunklen Ecken des Internets gehandelt und irgendwann (mit etwas Hoffnung sehr schnell nach Erstnutzung) von den Entwicklern gefixt.

Lieblingsspielzeug (den http-logs meiner Kiste nach) scheint phpmyadmin zu sein, weil es von Noobs mit chmod 777 nach /var/www entpackt und nie wieder aktualisiert wird... da funktionieren dann auch noch die Exploits von 2012.. und gegen so ein Vorgehen helfen auch keine Securitypatches gegen 0days mehr. Sollte Matthiasss also in 6-12 Monaten immer noch auf seiner Kiste das ursprüngliche tar.gz von heute dort auf Port 1000 lauschen lassen, dann haben wir eventuell ne Kiste, wo wir unsere Usernamen ablegen können. Heute können wir nur freundlich mahnen, das nicht zu tun.

[DeletedUserReAsG]

ICH BIN RUHIG!!k

[scnr]

[BenutzerGa4gooPh]

Beim Lesen des Threads stellt sich mir die Frage, warum Hetzner webmin überhaupt zulässt (könnte ja auch von Hetzner geblockt werden) bzw. sogar Webmin vorkonfiguriert. TRex' AW wäre eine Erklärung: Richtig konfigurieren, dann okay?
(Unabhängig davon verstehe ich die Argumente der Vorredner.)

[TRex]

TRex AW wäre eine Erklärung: Richtig konfigurieren, dann okay?

Definiere "richtig": kein Zugriff von außen (sondern nur über SSH-Forwarding gegen localhost) wäre okay. Absicherung via basic auth wäre auch okay (gegeben sei ein ausreichendes Passwort...). Regelmäßige Aktualisierung wäre wohl auch noch in Ordnung. Wenn das Paket aber nicht einmal im repo ist, dann kann man letzteres nicht ordentlich durchziehen.

[BenutzerGa4gooPh]

Danke TRex. Das Aufsetzen eines Firmenservers (Webserver + Firewall) mit netter grafischer Weboberfläche (Zentyal, ClearOS, SEM Server) als Rootserver ist sicher auch keine gute Idee, da diese ja normal in der Firma stehen und nur lokal managed werden? War auch mal so ein ketzerischer Gedanke, der mir beim Lesen kam.