Ich hab das alles gelesen...
... und schmeiß mich weg... !!!
__________________ "Sport hat die Kraft, die Welt zu verändern. Er hat die Kraft, zu inspirieren. Er hat die Kraft, Menschen zu vereinen, wie es sonst nur weniges kann. Sport kann Hoffnung erwecken, wo vorher nur Verzweiflung war." (Nelson Mandela)
Viel zu pimpem gibt es da nicht mehr. Das System gehört ins Museum und gehört von Grund auf neu aufgesetzt.
Auf dem Server läuft
als Webserver-Dienst: Apache 1.3 (letztes Update 2010!)
mit PHP4 (Support und Entwicklung wurden 2008 eingestellt).
Das Ganze (laut nmap-Trace) auf Mac OSX 10.4. Für die, die es nicht so mit Macs haben: Dieses OS kam 2005 auf den Markt. Inzwischen sind wir bei 10.14.
Ich administriere selbst Server und sehe mich ständig mit Attacken konfrontiert von Servern, die entweder gar nicht oder nur unzureichend gewartet werden. Naja, üblicherweise passiert da nur was, wenn man die Anbieter, bei denen die Server stehen, direkt kontaktiert. Insofern wundert es mich auch nicht, dass Arne auf meine private Mail, die ich vor ein paar Tagen in dieser Sache geschrieben habe, nicht mal reagiert hat.
Also wir reden hier nicht nur von quasi nicht vorhandener Verschlüsselung (FF warnt zB davor, dass die verwendeten Algorithmen schlecht sind), sondern auch davon, dass der Webdienst (und nicht zuletzt auch das Betriebssystem) vermutlich so alle Sicherheitslücken der letzten zehn bis 15 Jahren aufweist.
Immerhin scheint vBulletin aktuell zu sein...
Naja in der Theorie können solche Responses auf Scans auch gefaked sein oder Verwundbarkeiten mit z.b. einer WAF mitigiert werden.
Das ist korrekt.
Und um das möglichst authentisch zu tun, setzt man auch gleich die Verschlüsselung herab. So kann man die Angreifer hart verarschen, hrhr.
Zitat:
Zitat von deralexxx
Naja in der Theorie können solche Responses auf Scans auch gefaked sein oder Verwundbarkeiten mit z.b. einer WAF mitigiert werden.
Das Einzige, was dort grün ist: Das Zertifikat ist gültig. Immerhin. Es könnte auch von einer unbekannten CA sein (zB selbst signiert) und/oder abgelaufen.
Der Arbeitsaufwand für eine Aktualisierung der Softwarekomponenten dürfte recht hoch sein, weil man wahrscheinlich das Board neu anpassen / programmieren muss und man nicht einfach automatisch Updates laufen lassen kann. Solange die Systeme laufen, finde ich da kein Problem für mich als Nutzer, da es sich schliesslich ja nicht um Bankensoftware oder einen Shop handelt.
Da hast du natürlich Recht. Ich habe mich beim Abgleich irgendwie vertan. Hätte ich mir allerdings auch denken können, eine wenigstens halbwegs aktuelle Forensoftware ist im Leben nicht mehr mit PHP4 lauffähig.
Zitat:
Zitat von Mauna Kea
Vbulletin 3.6.1 ist übrigens von 2006, also nicht ganz so aktuell.