Betriebssicherheit Ihrer Website

Besides background information, this page states your obligations as a website owner.

Background

With the default configuration, your LRZ-hosted website will be available everywhere on the internet. Since it is hardly a hurdle nowadays to automatically scan and attack entire network areas with thousands of websites, it is vital that you take appropriate measures to secure your website against unwanted exploitation.

How do you know if your website has been compromised?

Signs may include:

- spam emails are sent via your web server
- the contents of your website have been changed
- your web server distributes malicious code (hard to detect without expert knowledge)

LRZ takes care of the security of the machines and the operating environment on which your website runs. Both are regularly updated and secured against intruders. However, we cannot ensure the security of your website alone. When using our services, we expect you to contribute to the proper functioning of the services - in your interest as well as in the interest of other users.


Ihre Pflichten als Website-Betreiberin

Im Rahmen des Webhostings am LRZ können Sie in Ihrem Speicherbereich eine beliebige Software installieren. Joomla oder Wordpress sind Beispiele für häufig bei uns eingesetzte Content-Management-Systeme. Da Sie die Software selbst installieren, sind Sie auch für deren Wartung verantwortlich.

Meist werden Webserver über folgende Wege angreifbar:

  1. Veraltete Software: In der Dokumentation zu Ihrer Software finden Sie Hinweise zur Sicherheit, die Sie unbedingt beachten sollten. Darüber hinaus ist es mit dem einmaligen Einrichten der Webpräsenz nie getan – es werden ständig neue Sicherheitslücken bekannt und Updates zur Verfügung gestellt, die diese wieder beheben. Angreifer scannen das Internet systematisch nach veralteter Software und greifen unsichere Webauftritte automatisiert an. Achten Sie also darauf, die Aktualität Ihrer Software regelmäßig zu überprüfen und Updates einzuspielen, sobald sie verfügbar sind. (lightbulb)Lesen Sie dazu auch unsere unten aufgeführten Sicherheitstipps für häufig verwendete Software.
  2. Bekannt gewordene Passwörter: Seltener geschieht es, dass das Passwort der Funktionskennung Angreifern bekannt wird und damit direkter Zugriff auf Ihren Speicherbereich über FTP oder SSH möglich wird. Ein Angreifer verfügt dann über alle Möglichkeiten, die Sie als Kennungsverantwortlicher oder Kennungsbesitzer haben. Passwörter können beispielsweise über einen mit Malware infizierten Arbeitsplatzrechner oder unsichere (d.h. unverschlüsselte) Netze ausgespäht werden.

Das Risiko erfolgreicher Angriffe senken Sie also erheblich, wenn Sie Ihre Software regelmäßig aktualisieren und auf Passwortsicherheit achten. Dazu gehört beispielsweise, die Software auf Ihrem Desktop-Rechner aktuell zu halten und das Passwort in unsicheren Netzen möglichst nur verschlüsselt zu übertragen.

Falls Ihr Webauftritt nicht mehr aktualisiert wird und nur noch zu Dokumentationszwecken weiter besteht, empfehlen wir, das Dateisystem komplett auf read-only zu setzen. Dies können Sie von einer Zugangsmaschine aus selbst und sofort erledigen. Wenn es damit Probleme gibt, kontaktieren Sie uns bitte über das Servicedesk.

Wir benötigen keine Passwörter

Einige Kund:innen teilen uns von sich aus Informationen zu einem Vorgang mit;  sie wollen uns damit bei der Behebung eines Problems oder beim Finden eines Fehlers aktiv helfen.  Damit spart man Zeit und dem Webhosting-Team Arbeit:  Wir müssen Sie nämlich nicht um die betreffenden Informationen bitten.

Manchmal erhalten wir in diesem Rahmen ein Passwort zu einer persönlichen oder einer Funktionskennung.  Wir benötigen aber keine Passwörter und das Passwort wird dadurch leider dem Webhosting-Team und weiteren Kolleg:innen bekannt;  im Hinblick auf Ihre Sicherheit bzw. die Sicherheit Ihres Webauftritts ist dies aber bedenklich (s.u.).
Deshalb empfehlen wir in diesen Fällen immer, das Passwort zur eigenen Sicherheit zeitnah zu ändern.

 Ein paar Hinweise als Hintergrundinformation zur Problematik:

  • Abgesehen von extrem seltenen Sonderfällen benötigen wir im LRZ keine Kunden-Passwörter bei der Erbringung der LRZ-Dienste.  Die Kolleg:innen besitzen nämlich die erforderlichen Admin-Privilegien für den Zugriff auf alle Daten und Informationen, die zu demjenigen LRZ-Dienst gehören, den man selbst betreut.
    Das Webhosting-Team hat z.B. den uneingeschränkten Zugriff auf alle Daten, die spezifisch zu den Websites gehören (d.h. die Web-Daten der Funktionskennung und die optionale Web-Datenbank).  Andererseits hat das Webhosting-Team keinen Zugriff auf die Daten des LRZ-Dienstes "E-Mail".
  • Wegen des vorhergehenden Punkts wird eine seriöse Einrichtung/Organisation/Firma (mit einer fähigen IT-Abteilung/-Gruppe) Sie nicht auffordern, ein Passwort per E-Mail zu schicken.
    Wenn man Sie dennoch dazu auffordert, liegt vermutlich eine der folgenden Situationen vor:
    • Es handelt sich in den meisten Fällen um einen Angreifer, der versucht, Ihre Kennungs-Informationen zu stehlen.
    • Es handelt sich um eine seriöse Einrichtung.
      Diese Einrichtung besitzt aber eine "unfähige" IT, oder die Einrichtung achtet nicht auf die Sicherheit Ihrer Daten.

Beide Fälle sind aus Kundensicht bedenklich.

  • Wenn man Sie per E-Mail dazu auffordert, sich bei einer Webseite mit Ihrer Kennung anzumelden, handelt es sich meist um einen Phishing-Versuch eines Angreifers.
    Deshalb sollte man in diesen Fällen misstrauisch sein;  man sollte keinesfalls einfach auf einen Link klicken:
    • Zumindest sollte man sich den URL hinter dem Link ganz genau ansehen.
      Aber Achtung:  Der URL eines Angreifers unterscheidet sich oft nur minimal vom URL der seriösen Einrichtung.
    • Wenn es sich möglicherweise doch um eine seriöse E-Mail handelt, sollte man immer das gewohnte (Anmelde-)Formular nutzen, dessen URL meist in den eigenen Bookmarks steht.
      Oder man geht von der Homepage der Einrichtung aus (wie z.B. "https://www.lrz.de/" oder "https://doku.lrz.de/") und sucht von dort aus die gewünschte Seite auf.
      Beispiel:  https://www.lrz.de/  →  Link "Support (Beratung & Unterstützung)"  →  Link "Support-Anfrage (Online-Formular)"

Wenn Ihre Website kompromittiert wurde

Ein kompromittierter Webserver muss umgehend nach Bekanntwerden deaktiviert werden, um Schaden abzuwenden.

Falls uns ein kompromittierter Webserver bekannt wird, werden wir diesen darum sofort deaktivieren. Wir werden Sie dann kontaktieren und das Vorgehen mit Ihnen besprechen.

Darum bitten wir Sie: Falls Ihnen ein Webauftritt, der am LRZ gehostet wird, kompromittiert erscheint, geben Sie uns bitte so schnell wie möglich über das Servicedesk Bescheid – egal, ob Sie den Webserver selbst betreiben oder nicht.

Auf der Seite System- und Internet-Sicherheit finden Sie noch mehr Tipps zum Thema.

Sicherheitstipps für häufig verwendete Software (WordPress, Joomla! usw.)

Viele unserer Kunden nutzen für ihre Webserver etablierte Software wie WordPress oder andere Content-Management-Systeme. Aus diesem Grund haben wir für Sie im Folgenden einige Links zusammengestellt, die es Ihnen erleichtern sollen, die Betriebssicherheit Ihres Webservers sicherzustellen. Fügen Sie diese Links z.B. als Lesezeichen in Ihrem Browser hinzu, um sich regelmäßig über bekannt gewordene Sicherheitslücken und dafür veröffentliche Software-Patches zu informieren.

Bitte beachten Sie, dass diese Links auf externe Seiten außerhalb des LRZ-Webauftritts verweisen und wir darum auf deren Inhalte keinen Einfluss haben.

WordPress

Verwundbarkeit durch Angriff auf XML-RPC-Schnittstelle

Die XML-RPC-Schnittstelle kann u.a. dazu verwendet werden, Artikel mithilfe der WordPress-Apps für den Desktop oder für mobile Geräte zu verfassen. Außerdem stellt sie die Pingback-Funktion zur Verfügung. Leider ist sie bei Angreifern jedoch ein beliebtes Ziel, um viele Login-Versuche gleichzeitig abzusenden oder DOS-Attacken durchzuführen (DOS: Denial of Service, d.h., der Server wird durch zu viele Anfragen innerhalb kurzer Zeit in die Knie gezwungen). Wenn Sie die XML-RPC-Schnittstelle nicht benötigen, weil Sie Ihre Artikel ohnehin über die WordPress-Weboberfläche verfassen, gibt es eine einfache Möglichkeit, die Schnittstelle effektiv abzuschalten und sich so vor dieser Art von Angriffen zu schützen.

Dazu nehmen Sie folgende Änderungen in der Datei functions.php des von Ihnen verwendeten WordPress-Themes vor:

Anpassungen in functions.php
<?php

/* Die XMLRPC-Schnittstelle komplett abschalten */
add_filter( 'xmlrpc_enabled', '__return_false' );

/* Den HTTP-Header vom XMLRPC-Eintrag bereinigen */
add_filter( 'wp_headers', 'AH_remove_x_pingback' );
 function AH_remove_x_pingback( $headers )
 {
 unset( $headers['X-Pingback'] );
 return $headers;
 }

(Quelle: https://gist.github.com/anonymous/02cfcb73c70a64925752)

Außerdem blockieren Sie den Zugriff in der Datei .htaccess (wenn Sie noch keine .htaccess-Datei haben, müssen Sie diese erst anlegen; siehe Konfigurationsmöglichkeiten für Ihre Website):

Anpassungen .htaccess
#XML-RPC Schnittstelle abschalten
<Files xmlrpc.php>
 Require all denied
</Files>
 
# BEGIN WordPress
<IfModule mod_rewrite.c>
  RewriteEngine On
  RewriteBase /
  RewriteRule ^index\.php$ - [L]
  RewriteCond %{REQUEST_FILENAME} !-f
  RewriteCond %{REQUEST_FILENAME} !-d
  RewriteRule . /index.php [L]
</IfModule>
# END WordPress

(Quelle: https://gist.github.com/anonymous/61f3e4f75436532a50eb)

Joomla!

TYPO3

Drupal