[HowTO] Vor Hacker schützen :)

.Kasim' · 07/26/2010, 10:04

Hallo, das ist mein erster Tut deswegen bitte nicht so hart sein

Ja ich hab gelesen das viele Hacker unterwegs sind

Deswegen wollte ich euch ein Tipp geben wir ihr besseren schutz hab

Ihr geht auf Navicat - verbindet euch mit eurer DB

Klickt auf Manage Useres

Erstellt einen neuen User

Namens HP - macht ein belibiges Passwort rein.

Dann gebt ihr dem User "HP" nur 3 Rechte

Die währen:

x Select

x Insert

x Show Database

So jetzt ist es Herzlich egal ob ihr gehackt werdet! (Da die meisten Hacker per HP hacken)

Denn der DatenbankUser ist nur für die HP gedacht, das heißt er kann nichts Ändern, Löschen, Kopieren oder sonst was!

Der User dient eig nur dazu = Acc Regi, Rangliste etc. mehr nicht

Wenn es euch hilft klickt auf THX

Denn User dann auf für die Homepage einstellen

Aber wenn ihr eine Homepage mit Itemshop habt, was die Items automatisch ins Lager gibt, dann müsst ihr noch auf Upgrade ein X machen

~~SirLawliet~~ · 07/26/2010, 10:06

Gut zu wissen.

PRiiFECTiiON · 07/26/2010, 10:13

Zu spät den thread gemacht :/ aber danke jetz weis ich es ;D

Obirah · 07/26/2010, 11:33

sinnlos...schreib mal lieber wie man eine iptable firewall einbaut, diverse ports(ssh, db server ...) verändert, mysql benutzer nur über eine bestimmte ip zugreiffen zu lassen und was es da noch so alles gibt.

der thread bringt rein gar nichts, hört auf eure mysql benutzer mit zum beispiel "hp@%" zu machen und benennt euren wartungsbenutzer (root) um!

Tookies · 07/26/2010, 12:35

Das schützt nicht vor Hackern !
Es hält sie nur auf wenn sie schon Zugriff haben.
Es sollte erst gar nicht soweit kommen.
Sucht euch lieber jemanden der sich mit PHP und SQL auskennt,
damit der Zugriff gar nicht erst zustande kommt.

-globe- · 07/26/2010, 12:37

Nur schön das man dann noch einfacher an die DB kommt und somit auch an alle Zugangsdaten kommt

IgorGlock · 07/26/2010, 12:38

Jop... am besten ein extra Root für MySQL ... damit wenn was mal mit Mt2 Server passiert man nicht gleich den SQL Server verliert.

Tookies · 07/26/2010, 12:42

Igor, das bringt nichts.
Wenn sie Zugriff auf den MySQL User haben, warum dann einen eigenen Root ?

Ich glaube immer mehr das du von solchen Dingen keine Ahnung hast.

IgorGlock · 07/26/2010, 14:07

Quote:

Originally Posted by Tookies

Igor, das bringt nichts.
Wenn sie Zugriff auf den MySQL User haben, warum dann einen eigenen Root ?

Ich glaube immer mehr das du von solchen Dingen keine Ahnung hast.

schon mal gewusst das man IP verbergen kann und mit meisten Firewalls nur 2~3 IP's zulassen auf Port 3306 kann? Naja... und auf der Homepage einfach error_report auf 0 setzen achten das er die MySQL IP nicht ausspuckt.

Mein Sicherheits-Tipp davor war gegen Datenverlust bei Beschädigungen am Root mit Game.

LianLi♥Hera · 07/26/2010, 14:29

Das

1. schützt nich vor hackern
2. geht kaum noch einer über HP
3. unnütz wenn er in der DB ist würde er eh alles löschen

#vote4closed

.Kasim' · 07/26/2010, 14:44

Quote:

Originally Posted by ~Steinkind~

Das

1. schützt nich vor hackern
2. geht kaum noch einer über HP
3. unnütz wenn er in der DB ist würde er eh alles löschen

#vote4closed

Lesen bildet!

Das ist auch wenn du gehackt wirst

KANN KEINER DEINE DB LÖSCHEN!

Lies ma zuerst alles durch in ruhe, Atme dabei, weil ich denke das du nich genügend sauerstoff bekommst

*hust* wodn2 *hust*

Hanashi · 07/26/2010, 16:36

Ich würde erstmal die HP vor SQL Injection schützen.

Außerdem sollte man den Host des HP Users richtig einstellen. Also wenn Ip von HP zum Beispiel 111.222.333.444 ist kommt bei dem Benutzer HP auch nur 111.222.333.444 rein. Genauso mit Benutzern für die Gameserver, außerdem sollten die Gameserver nicht als root gestartet werden. Und zu guter letzt ein sicheres MySQL Passwort. So würde ich es zu mindest machen!

Edit: Selbst dann ist MySQL nicht vor Hackerangriffen geschützt. Theoretisch kann man heutzutage alles knacken etc.

.Marcel' · 07/26/2010, 18:02

Baut euch einen "escape_string()" in eure Hp rein dan sollte sie sicher gegn SQL Injections sein

nico_w · 07/26/2010, 18:04

Dann funktioniert der Itemshop oder PW ändern nicht

~~Daunenjacke~~ · 07/26/2010, 18:13

Nja, ich beschreibs mal auf Downiisch -> "Wäre so sinnvoll wie nen Toast anzuzünden".
Man könnte damit immernoch soviel machen. Insbesondere, weil wie nico schon gesagt hat, das der Itemshop dann nicht mehr geht. Itemshop -> needs UPDATE rechte -> Wieder pwnbar.
Ganz Easy. Dazu kommen noch die massiven Sicherheitslücken in sovielen Homepagescripts.

Bringt, nix.
btw. Mysql-DB auswählen, User Tabelle auslesen, Hash inne Rainbow Tabelle jagen. Hoffen das der User dumm ist und nen Low-PW hat -> Done.