Wie schütze ich meine Mysql Datenbank

Wie schütze ich meine Mysql DatenbankSicherheitslücken sind kaum zu Stopfen und sind daher eines der größten Probleme in der IT. Kaum schließt sich ein Lücke, finden die gewieften Hacker auch wieder eine neue Stelle im System, wo sie Ihre Schadsoftware durchschleusen können. Während der einfache Desktopuser seinen PC mit Internet Security Software wie Avira schnell und effektiv absichern kann, erfordert es bei einer Mysql Datenbank schon einen größeren Aufwand sowie die nötigen Kenntnisse.

Wie schütze ich nun meine Mysql Datenbank?

Die meisten Anbieter von Webspace bieten die tägliche Sicherung der Daten in der Beschreibung ihrer Leistungen an. One.com ist herbei ein hervorzuhebendes Beispiel für täglich Echtzeit Backups. Warum also soll ich meine Mysql-Datenbank noch einmal extra sichern? Oft besteht eine Webseite aus mehr, als nur ein paar Dateien, Bildern und Texte. In vielen Fällen sind diese entweder in Shop-Systeme oder in CMS-Systeme eingebunden. Damit die Webseite vollständig gesichert werden kann, muss dieses Zusammenspiel von Scriptsprachen, Datenbanken und Software berücksichtigt werden. Nur dann ist es bei einem Datenverlust möglich, aus den gesicherten Dateien ein System herzustellen, welches funktioniert.

Heartbleed: Sicherheit ist löcherig

Wie löcherig manchmal die Sicherheit sein kann, zeigte die Heartbleed-Lücke im Frühjahr: Hier konnten Angreifer Daten bei Web-Diensten abgreifen, in denen beispielsweise Passwörter und andere sensible Daten enthalten waren. Für den Zugang zum Provider ist das Passwort, ebenfalls wie für den eMail-Account, so wichtig, wie der Schlüssel zur Wohnung. Selbst Webseiten, die besonders gut gesichert waren, wurden durch diese Lücke anfällig für Hackangriffe. Deswegen ist die tägliche Sicherung der Daten so notwendig, wie das sorgfältige Verriegeln der Wohnungstür, wenn diese für die tägliche Arbeit verlassen wird.

Scripte für die Sicherung der Mysql-Datenbank

Für die Sicherung ihrer Datenbanken schreiben viele Menschen mit Programmierkenntnissen ihre eigenen Scripte. Bei den meisten wird automatisch jede einzelne Datenbank in einer extra Datei gesichert. Auch wer die Mysql-Datenbank ändern will, sollte diese als erstes sichern, damit sich gegebenenfalls der ursprüngliche Zustand wieder herstellen lässt. Es gibt für die tägliche Sicherung diverse Tools, wie beispielsweise PhpMyAdmin oder mysqldump. Allerdings lässt sich die Mysql-Datenbank auch mit php oder mit den standardmäßigen Sicherungen der Webanwendungen sichern. Für eine Mysql-Datensicherung ist ein Bash-Script ausreichend, das entweder manuell angefahren wird – dann muss der Anwender lediglich daran denken – oder es läuft automatisch über einen Cronjob. Dieses lädt einfach die entsprechende Datenbank herunter, und schickt sie per eMail oder FTP an das Postfach.

Beispiel einer Sicherung der Mysql-Datenbank

Hier dient das Tool mysqldump zur Sicherung, das auf dem Mysql-Server installiert ist. Soll die Datenbank gesichert werden, ist die Syntax recht einfach und heißt: mysqldump -u -p >. Der Befehl lässt sich mit weiteren Parametern beliebig erweitern, reicht jedoch völlig aus. Wenn beispielsweise nach einer Änderung die ursprüngliche Mysql-Datenbank wieder hergestellt werden soll, dann lautet die Syntax: mysql -u -p < . Auch über das Netzwerk oder Internet lässt sich der Mysql-Server sichern. Hier muss der ursprüngliche mysqldump-Befehl nur durch einen weiteren Parameter erweitert werden. Allerdings ist es dafür notwendig, dass der Benutzer auch einen entsprechenden Zugriff über das Netzwerk hat, was in der standardmäßigen Einstellung in der Regel nicht gegeben ist: mysqldump -h -u -p >. Die einzelnen Scripte lassen sich auch zusammenfassen und so muss ich mich nicht darum kümmern, dass ich jede Datenbank einzeln sichern muss. Selbst mehrere Mysql-Server lassen sich komfortabel verbinden, in dem das Script über die entsprechenden Parameter den Zugriff auf das Passwort, den Namen des Benutzers, den Server und das Sicherungsverzeichnis erhält.

Sicherheit ist oberstes Gebot

Wie der Heartbleed-Bug im Frühjahr zeigte, sind selbst sensible Daten nicht immer sicher. Dabei existierte dieser Fehler bereits seit zwei Jahren in der OpenSSL-Software, bevor er von sich reden machte. So lange hatten Angreifer bereits Zeit, sensible Informationen, wie Passwörter, abzufischen. Wer täglich sichert, ist einfach auf der sicheren Seite.

TimThumb: Potentielle Sicherheitslücke in einigen WordPress-Themes

TimThumb: Potentielle Sicherheitslücke in einigen WordPress-ThemesDa spielt man regelmäßig die Updates von WordPress und den Plugins ein, um ja keine Sicherheitslücken offen zu haben, und trotzdem hat mich diese Woche mein Provider darauf aufmerksam gemacht, dass bei einem meiner Web-Projekte ein Malware-Schädling aufgetreten ist. Anhand der Log-Files konnte ich dann auch schnell den Übeltäter identifizieren und war etwas überrascht. Die Sicherheitslücke verursachte weder der Core-Part von WordPress noch irgendein Plugin, nein, der Übeltäter ist war ein kleines, aber feines Tool namens TimThumb, welches Bestandteil der in dem Projekt genutzten Theme ist.

Dieses PHP-Script kann Bilder auf beliebige Grössen zuschneiden und wählt dabei den bestmöglichen Ausschnitt. TimThumb wird vielen kostenlosen wie -pflichtigen Plugins und Themes verwendet, da es für die Entwickler einen geringeren Arbeitsaufwand bedeutet. Nur leider exisitiert in älteren Versionen dieses eigentlich sinnvollen Scripts eine Sicherheitslücke, mit der beliebige PHP-Dateien in dessen Cache-Verzeichnis eingeschleust und ausgeführt werden können. Und da dieses Script nicht automatisch durch WordPress auf eine notwendige Aktualisierung überprüft werden kann, fällt diese Sicherheitslücke meistens erst auf, wenn es zu spät ist!

Was kann resp. muss man nun also machen? Wenn man das Script nicht durch eine neuere Version ersetzen will, sollte man einfach die folgende Zeile suchen:

$allowedSites = array (
'flickr.com',
'picasa.com',
'blogger.com',
'wordpress.com',
'img.youtube.com',
);
und ersetzen mit

$allowedSites = array ();

Sinnvoller ist es aber natürlich, sich die neueste Version von TimThumb herunterzuladen und auf den Server zu spielen! Das habe ich gemacht und parallel dazu das WordPress Plugin Timthumb Vulnerability Scanner installiert. Mittels dieses Plugin können alle veralteten TimThumb Skripte angezeigt und automatisch auf den neuesten Stand gebracht werden. Und natürlich habe ich den Aufruf von Dateien auf externen Seiten komplett deaktiviert. Damit kann dieses Schlupfloch gar nicht mehr genutzt werden!

Auch wenn diese TimThumb-Sicherheitslücke nun bereits seit fast genau einem Jahr bekannt ist, hatte ich bisher davon nichts gelesen. Daher poste ich diesen Artikel heute, um eventuell anderen WordPress-Nutzern eine Hilfestellung zu geben resp. für dieses Thema zu sensibilisieren.

Virus auf ComputerBild Heft-CD 18/2009

Die Hersteller von Antiviren-Software Kaspersky und Avira haben laut aktueller Information u.a. von silicon.de einen neuen Virus entdeckt. Betroffen sind eine Reihe von bekannten Download-Portalen und und die Heft-CD/DVD der Computerbild Ausgabe 18/2009.
Das besondere an dem Virus ist, dass dieser den Quellcode der Delphi-Entwicklungsumgebungen der Versionen 4.0 bis 7.0 befällt und die damit erstellten Programme den Virus somit auf die Programmierumgebungen anderer Rechner überträgt.

Betroffen sind die Programme TidyFavorites 4.1 (TidyFavorites_Setup_4_1_free.exe) und Any TV Free 2.41 (anytv241_setup.exe). Seitens Avira, Kaspersky und F-Secure wird dieser Virus (VDF-Datei 7.1.5.130) W32/Induc.A erkannt, McAfee erkennt infizierte Dateien als W32/Induc oder als Generic!Artemis. Auch wenn der Virus auf Systemen ohne Delphi keine weitere Schadfunktion besitzt, sollen Nutzer diese Dateien auf keinen Fall ausführen. Auf einigen Download-Portalen wie Chip.de wurden die Dateien inzwischen entfernt, von Tidy Favorites steht inzwischen die virenfreie Version 4.14 zum Download bereit.

Diverse Community-Websites gehackt

In den letzten Tagen war ein Hacker leider erfolgreich unterwegs und hat diverse Community-Websites gehackt. Dazu zählt unter anderem das deutsche Support-Forum für die Open-Source-Forensoftware phpBB, wo es bislang Unbekannten gelungen ist, Benutzerdaten wie Username, E-Mail und den MD5-Hash des Passwortes auszuspähen. Wie der Forenbetreiber jedoch klarstellt, wurde keine Sicherheitslücke in phpBB genutzt, Ursache war das Zusammenspiel verschiedener Faktoren. Welche genau werden derzeit aus guten Gründen nicht genannt, denn es wurde Strafantrag gestellt und daher können zunächst keine weiteren Informationen veröffentlicht werden.

Ferner auch das Support-Forum von Woltlab gehackt, hier gelangte der Täter an ein Administratorenpasswort und konnte damit direkt an die Datenbasis ran. Weitere Community-Websites berichten inzwischen auch von erfolgreichen hacker-Angriffen, so dass hierbei System unterstellt werden muss!

Der oder die Täter bieten die Daten – über 125.000 Datensätze – inzwischen bereits zum Verkauf, wie ein Screenshots eines Threads auf h4ckyou.org zeigt. Wollen wir hoffen, dass dieses Angebot möglichst schnell unterbunden werden kann und der / die Täter ermittelt werden.