Comments on: Ach wie gut, dass niemand weiß, dass ich lighttpd heiß http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/ ... aus dem Alltag eines Sysadmins Sun, 05 Sep 2010 02:31:20 +0000 http://wordpress.org/?v=2.9.2 hourly 1 By: Stefan http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/comment-page-1/#comment-793 Stefan Fri, 31 Aug 2007 16:19:07 +0000 http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/#comment-793 Mir gehts garnicht um den Vergleich zum Apache; Software, die heutzutage noch solche "Kindergarten"-Bugs hat, würde ich ungern einsetzen...außerdem gabs in letzter Zeit noch einiges anderes an DOS-Bugs für lighty :( Mir gehts garnicht um den Vergleich zum Apache; Software, die heutzutage noch solche “Kindergarten”-Bugs hat, würde ich ungern einsetzen…außerdem gabs in letzter Zeit noch einiges anderes an DOS-Bugs für lighty :(

]]> By: matthias http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/comment-page-1/#comment-792 matthias Fri, 31 Aug 2007 12:55:55 +0000 http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/#comment-792 Ist ja auch noch ein "junges" Projekt... (und ja, Apache ist auch toll) Ist ja auch noch ein “junges” Projekt… (und ja, Apache ist auch toll)

]]> By: Stefan http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/comment-page-1/#comment-791 Stefan Fri, 31 Aug 2007 12:46:43 +0000 http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/#comment-791 "A bug in mod_access potentially allows remote users to bypass access restrictions via trailing slash characters." LOL, Kindergartenbug :( “A bug in mod_access potentially allows remote users to bypass access restrictions via trailing slash characters.”
LOL, Kindergartenbug :(

]]> By: matthias http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/comment-page-1/#comment-790 matthias Fri, 31 Aug 2007 10:14:38 +0000 http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/#comment-790 Klar ist das ok :) Aber es gibt mit Sicherheit auch Leute, die nicht sehr schnell Patches einspielen ... Klar ist das ok :)
Aber es gibt mit Sicherheit auch Leute, die nicht sehr schnell Patches einspielen …

]]> By: Stevie http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/comment-page-1/#comment-789 Stevie Fri, 31 Aug 2007 09:26:32 +0000 http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/#comment-789 @matthias: Nunja, ich hab mir das bei <strong>dir</strong> schon gedacht, aber zur Sicherheit eben doch geposted. Wenn ich die DSA lese, denke ich immer gleich daran, wen es interessieren könnte. Diesmal warst Du nun dabei - ich hoffe, das war ok?! @matthias:
Nunja, ich hab mir das bei dir schon gedacht, aber zur Sicherheit eben doch geposted.

Wenn ich die DSA lese, denke ich immer gleich daran, wen es interessieren könnte. Diesmal warst Du nun dabei – ich hoffe, das war ok?!

]]> By: matthias http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/comment-page-1/#comment-788 matthias Fri, 31 Aug 2007 06:23:56 +0000 http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/#comment-788 @Stevie Update ist ja schon seit über 24h verfügbar. Wurde gestern eingespielt :) @Stevie
Update ist ja schon seit über 24h verfügbar. Wurde gestern eingespielt :)

]]> By: Stevie http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/comment-page-1/#comment-787 Stevie Thu, 30 Aug 2007 20:00:28 +0000 http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/#comment-787 Ist zwar OT, aber ich dachte, dass es Dich (und andere) vielleicht interessiert: <a href="http://www.debian.org/security/2007/dsa-1362">Bugs in lighttpd</a> Ist zwar OT, aber ich dachte, dass es Dich (und andere) vielleicht interessiert:

Bugs in lighttpd

]]> By: matthias http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/comment-page-1/#comment-786 matthias Wed, 22 Aug 2007 05:02:59 +0000 http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/#comment-786 mod_security muss ich mir mal anschauen. Das hört sich äußerst interessant an. Bei mir heißen die lightys auch nicht IIS. Das war nur ein Beispiel im Beitrag, um das trockene Thema etwas peppiger zu gestalten ;) mod_security muss ich mir mal anschauen. Das hört sich äußerst interessant an.
Bei mir heißen die lightys auch nicht IIS. Das war nur ein Beispiel im Beitrag, um das trockene Thema etwas peppiger zu gestalten ;)

]]> By: morph http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/comment-page-1/#comment-785 morph Wed, 22 Aug 2007 00:08:41 +0000 http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/#comment-785 Also grundsätzlich bin ich ja auch dafür, etwas Verwirrung zu stiften. Aber dem Angreifer vorzumachen, da sei der IIS am Werke, na ich weiß nicht. Kannst ja mal berichten, ob die Frequenz des Servers mit dieser Finte höher ist oder ohne. Die ApacheFirewall mod_security macht so einen Blödsinn ja standardmäßig. Das muss man dann in der Konfiguration erst ändern. Ich hatte halt wesentlich mehr Angriffe auf den Server bei dieser Signatur als ohne sie. Und das kann dann natürlich auch zu Lasten der Performance gehen, wenn's dumm läuft. Was ich jedoch an der mod_security sehr gut finde ist, dass man auch NULL String Angriffe und andere richtig heftige Sachen rausfiltern kann, bzw. es überhaupt mitbekommt. Außerdem kann man wirklich *alles* mitloggen ohne da noch einen Sniffer zwischenhängen zu müssen, also auch die POST Daten. Dann hat man auch eher eine Chance die Methoden zu analysieren. Ich habe durch dieses Modul sehr viel über die Angriffsvarianten gelernt, weil ich ja quasi mit der Nase drauf gestoßen worden bin. Aber Vorsicht. Das Regelwerk der mod_security ist nicht ganz trivial. Es gibt zwar vorgefertigte Regelsätze, aber die sind meißt viel zu brockig. Man muss da auch immer wieder dran rumschrauben und die Regeln anpassen, weil man sich mit dem Ding die Performance eines Webservers ganz schnell in den Keller fahren kann. Also grundsätzlich bin ich ja auch dafür, etwas Verwirrung zu stiften. Aber dem Angreifer vorzumachen, da sei der IIS am Werke, na ich weiß nicht. Kannst ja mal berichten, ob die Frequenz des Servers mit dieser Finte höher ist oder ohne.

Die ApacheFirewall mod_security macht so einen Blödsinn ja standardmäßig. Das muss man dann in der Konfiguration erst ändern. Ich hatte halt wesentlich mehr Angriffe auf den Server bei dieser Signatur als ohne sie. Und das kann dann natürlich auch zu Lasten der Performance gehen, wenn’s dumm läuft.

Was ich jedoch an der mod_security sehr gut finde ist, dass man auch NULL String Angriffe und andere richtig heftige Sachen rausfiltern kann, bzw. es überhaupt mitbekommt. Außerdem kann man wirklich *alles* mitloggen ohne da noch einen Sniffer zwischenhängen zu müssen, also auch die POST Daten. Dann hat man auch eher eine Chance die Methoden zu analysieren. Ich habe durch dieses Modul sehr viel über die Angriffsvarianten gelernt, weil ich ja quasi mit der Nase drauf gestoßen worden bin.

Aber Vorsicht. Das Regelwerk der mod_security ist nicht ganz trivial. Es gibt zwar vorgefertigte Regelsätze, aber die sind meißt viel zu brockig. Man muss da auch immer wieder dran rumschrauben und die Regeln anpassen, weil man sich mit dem Ding die Performance eines Webservers ganz schnell in den Keller fahren kann.

]]> By: Stefan http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/comment-page-1/#comment-784 Stefan Tue, 21 Aug 2007 15:07:53 +0000 http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/#comment-784 Windows-Shellcode auf einem Linux-System, hmmm ;) Windows-Shellcode auf einem Linux-System, hmmm ;)

]]> By: matthias http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/comment-page-1/#comment-783 matthias Tue, 21 Aug 2007 06:19:42 +0000 http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/#comment-783 Die sollen ruhig versuchen die IIS Schwachstellen an meinem lighty abzugrasen ;) Die sollen ruhig versuchen die IIS Schwachstellen an meinem lighty abzugrasen ;)

]]> By: prauscher http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/comment-page-1/#comment-782 prauscher Tue, 21 Aug 2007 05:34:54 +0000 http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/#comment-782 Noch was: Den Automatischen Hackertools gehst du hiermit nicht aus dem Weg! Nicht, wenn du IIS angibst ;-). Dann kommen eher mehr Fehleinbrüche! Noch was: Den Automatischen Hackertools gehst du hiermit nicht aus dem Weg! Nicht, wenn du IIS angibst ;-) . Dann kommen eher mehr Fehleinbrüche!

]]> By: matthias http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/comment-page-1/#comment-781 matthias Mon, 20 Aug 2007 10:47:17 +0000 http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/#comment-781 @Stevie lighttpd ist ziemlich klein und schmal. Außerdem für wenige Seiten schnell konfiguriert. Da ich nur einen kleinen root-Server habe, ziehe ich lighty dem Apachen vor. Im professionellen Hostingumfeld nutze ich jedoch auch natürlich Apache. @prauscher Danke für die Ergänzung. Muss ich mir merken :) @Stevie
lighttpd ist ziemlich klein und schmal. Außerdem für wenige Seiten schnell konfiguriert. Da ich nur einen kleinen root-Server habe, ziehe ich lighty dem Apachen vor. Im professionellen Hostingumfeld nutze ich jedoch auch natürlich Apache.

@prauscher
Danke für die Ergänzung. Muss ich mir merken :)

]]> By: prauscher http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/comment-page-1/#comment-780 prauscher Sun, 19 Aug 2007 18:38:35 +0000 http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/#comment-780 Ergänzung: Mit mod_security und <a href="http://www.modsecurity.org/documentation/modsecurity-apache/2.5.0-dev2/modsecurity2-apache-reference.html#N10885">SecServerSignature</a> kann man den Server-Header auch unter Apache beliebig verändern! Ergänzung: Mit mod_security und SecServerSignature kann man den Server-Header auch unter Apache beliebig verändern!

]]> By: Stevie http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/comment-page-1/#comment-779 Stevie Sun, 19 Aug 2007 18:11:19 +0000 http://www.adminlife.net/tipps/ach-wie-gut-dass-niemand-weiss-dass-ich-lighttpd-heiss/#comment-779 Hallo Matthias! Das ist ein wenig OT: Du verwendest also lighttp? Hast du bestimmte Gründe, was gegen Apache spricht? Hallo Matthias!

Das ist ein wenig OT:
Du verwendest also lighttp? Hast du bestimmte Gründe, was gegen Apache spricht?

]]>