Joomla und PHPmyAdmin installiert. DS nun offen für jeden?

[peterha]

Moin,

ich habe phpmyadmin installiert und joomla. zu meinem erschrecken war dann die seite direkt von außen erreichbar. und noch schlimmer. das phpmyadmin auch mit dem user root und jeder ohne Kennwort.

verstehe ich das falsch oder ist das ne riesige sicherheitslücke? ich muss dann alle pwd der user ändern oder? bin etwas verwundert und würde mich über eine Unterhaltung dazu freuen...

vg
Peter.

 

[Ap0phis]

Welche Ports hast du denn in deinem Router weitergeleitet?
Wenn der Port 80 dabei ist, sollte man sich natürlich nicht wundern.

 

[rauppe31]

Natürlich kann man dann bei phpmyadmin das Passwort auch ändern.

 

[joku]

noch schlimmer. das phpmyadmin auch mit dem user root und jeder ohne Kennwort.

Hallo Peter,
diese Verbindung trifft nur auf localhost zu.
Das bedeutet, das nur Programme auf der DiskStation auf die MySQL mit root zugreifen dürfen.

Gruß Jo

 

[rauppe31]

Hallo Peter,
diese Verbindung trifft nur auf localhost zu.
Das bedeutet, das nur Programme auf der DiskStation auf die MySQL mit root zugreifen dürfen.

Gruß Jo

Ja, aber wenn man phpMyAdmin nach aussen freigibt, und noch kein anderes Passwort gesetzt ist, kann man sich auch von aussen ohne Passwort anmelden.

 

[joku]

Ja, aber wenn man phpMyAdmin nach aussen freigibt

Für die Anmeldung an dem phpMyAdmin sollte ein gutes Passwort gesetzt sein
Es schadet auch nicht für die Verbindung zum localhost eins zu vergeben.

Gruß Jo

 

[peterha]

hallo ja ihr habt recht. dämlich von mir. ich hatte tatsächlich port 80 nach außen offen...

eben wollte ich die pwd änder für root 127.0.0.1 und root nas und root localhost. ich habe pwd generiert und in meine Excel pwd Tabelle kopiert. pwd geändert. und dann als ich mich neu einloggen muss nimmt er die pwd nicht mehr!? phpmyadmin deinstalliert und wieder installiert. keine Chance. die user und damit die pwd (warum er sie auch immer nicht so genommen hat) sind noch gespeichert.

jetzt habe ich mich ausgesperrt... hat jemand ne Idee was ich tun muss? paket deinstallieren bringt scheinbar nichts...

danke.
peter

 

[rauppe31]

Systemsteuerung - Standard wiederherstellen heisst das Stichwort.

Gute Nacht zusammen.

 

[joku]

in meine Excel pwd Tabelle kopiert. pwd geändert.

Hallo peter,
Passwörter kopieren ist nicht gut, wegen eventuellen nicht sichtbaren Zeichen.
Der Tip von rauppe31 sollte Dir helfen.

Gruß Jo

 

[peterha]

Zurücksetzen?

Moin Jungs,

Danke für eure Hilfe.
Ich hab kein Problem damit zurückzusetzen, da ich aktuell nur spiele bis meine Platten kommen...
Ich finde es aber erstaunlich, dass ich praktisch alle Arbeit wegschmeißen muss nur weil ein Paket nen User hat den ich nicht mehr weiß.

Wurde vor paar Monaten mal gehackt, daher bin ich aktuell auf der Spur sichere pwd zu nehmen, die sich nicht wiederholen usw... Nen 16 stellingen pwd kann ich mir nicht merken für jeden User... Daher die Sache mit der Excel Datei und diesen Service Accounts.

Vg
Peter

Ps vielleicht kann man an der Konsole noch den Account ändern?
Pps kennt jemand von euch zufällig ein Paket, das man für Monitoring einsetzen kann? Würde zb gern täglich paar Websites prüfen.

 

[maDDin_1338]

anstatt ner offenen Excel Datei solltest du dir mal das Programm KeePass anschauen..

einfach nur genial!

 

[peterha]

excel

moin,

^^ die Excel Datei ist immerhin verschlüsselt. bisher wollte ich kein tool installieren, dass sich um meine pwd kümmert, aber ja ich guck keepass mal an. danke.

 

[joku]

Moin Peter,

Ich hab kein Problem damit zurückzusetzen, da ich aktuell nur spiele bis meine Platten kommen...

den Daten auf der Festplatte wird nichts geschehen ... mit dem zurücksetzen.

Es gibt drei Optionen zur Wiederherstellung von DiskStation:

* Die Festplatte formatieren, aber die aktuellen Einstellungen beibehalten: Bei Verwendung dieser Option werden alle Benutzerdaten auf der Festplatte gelöscht, die Systemkonfigurationen bleiben jedoch erhalten.
* Die Festplatte formatieren, und die Werkseinstellung wieder herstellen: Bei Verwendung dieser Option werden alle Benutzerdaten auf der Festplatte gelöscht, und das gesamte System wird auf die Standardvoreinstellungen zurückgesetzt.
* MySQL-Datenbank-Kennwort zurücksetzen: Das Passwort der MySQL-Datenbank wird zurückgesetzt.
* Wenn Sie Ihre MySQL-Datenbanken löschen möchten, markieren Sie das Kontrollkästchen MySQL-Datenbanken löschen und klicken Sie auf Übernehmen.

Daher die Sache mit der Excel Datei

das ist ja ok, nur das kopieren ist nicht immer gut, also tippen

vielleicht kann man an der Konsole noch den Account ändern?

jahlives hatt hier #4 einen Tip

Gruß Jo

 

[peterha]

thx. habe gerade alle meine accounts in ein keepass gehechelt. echt cool. viel besser organisierbar bei der menge an accounts und den unterschiedlichen arten.. ihr seid klasse.

 

[Matthieu]

Ich finde es aber erstaunlich, dass ich praktisch alle Arbeit wegschmeißen muss nur weil ein Paket nen User hat den ich nicht mehr weiß.

Das Problem ist nicht, dass du "ein" Passwort vergessen hast, sondern "das" Passwort. Wie bei den meisten Systemen gibt es auch für den MySQL-Datenbankserver einen "admin-darf-alles-Account". Und genau um den ging es. Unter "web" installierte Anwendungen wie Joomla lässt man im Idealfall mit eigenen Benutzern zugreifen. Deren Zugang ist dann auf einen Bereich der Datenbank eingeschränkt. Wenn man das Passwort dieser Benutzer vergessen hat, kann man mit dem oben erwähnten Administrator dann wieder ein neues vergeben.

MfG Matthieu