Was spricht dagegen Xampp als Webserver für die live Site zu verwenden?

    Hallo,


    heute benötige ich mal eure werte Meinung zu einen grundsätzlichen Thema. Was spricht außer der Empfehlung der Hersteller von Xampp dagegen, diesen auch gleich direkt als "live" Server für die Homepage zu verwenden?


    Dieses Streitgespräch mit einen Hoster läuft jetzt schon seit mehreren Jahren. Ich möchte eure Expertenmeinung dazu! Im Voraus danke ich euch schon mal für eure Antworten.

  • Zum hilfreichsten Beitrag springen

    XAMPP ist konzipiert einen lokalen Webserver für Entwicklungen zu betreiben und ist von Haus aus, sicherheitstechnisch, offen wie ein Scheunentor.
    IMHO kannst XAMPP einsetzen, wenn Du weißt wie Du es sicher bekommst. Kann mir unter XAMPP aber auch performante Probleme vorstellen.

    Das Performance-Argument ist in der Tat auch ein wichtiges. XAMPP ist von Haus aus so ausgelegt, dass du quasi alles damit machen können sollst - das bedeutet aber auch, dass so ziemlich alles, was z.B. an PHP-Modulen im Netz rumturnt, in XAMPP mit drin ist. Jedes PHP-Modul, egal ob genutzt oder nicht, braucht RAM, RAM ist kostbar und somit ein Performance-Problem.

    Danke auch an Dich David für Deine Antwort. Im Xampp wird das Apache als Modul betrieben. Wird nicht CGI oder FCGI empfohlen? Kann das ein Grund für die Probleme sein? Der Hoster schließt ein www.run Problem kategorisch aus.. Ich bin zu wenig Techniker als das ich das bewerten kann.

    Hallo SilOrs67


    In dem von Indigo66 verlinkten Beitrag ist eigentlich alles Wichtige gesagt was man zu diesem Thema wissen sollte!? Aber ok, man kann es bestimmt etwas konkreter auf den Punkt bringen.


    Viele Anwendern (egal welcher Software) streben bei ihren Bemühungen als ultimatives Ziel an, dass es "läuft", irgendwie. Und genau das ist der ultimative Fehler in Bezug auf Software die direkt am Internet hängt und die Sicherheitsrelevant ist. Denn hier ist das Ziel nicht das es "irgendwie läuft", sondern das es "sicher läuft"!


    Damit das gewährleistet ist musst du von der Materie mehr Ahnung haben als die Angreifer die versuchen werden deinen Webserver für ihre Zwecke zu kapern. Und glaub mir, die Kerle sind wirklich clever was das betrifft. Also nicht nur in Hinblick auf den Webserver, sondern ebenso im Zusammenhang mit der Konfiguration insgesamt und möglichen Schwachstellen die sich damit ergeben.


    Aber allein schon die Frage ob sich XAMPP für einen Webserver eignet sagt ganz deutlich - und nimm das bitte nicht persönlich - das du von der Materie keinen blassen Schimmer hast. Dies dann gepaart mit einem kleinen Schuss "Uneinsichtigkeit" und der Nachfrage, ob sich nicht vielleicht doch noch jemand meldet der deinem Vorhaben die Absolution erteilen könnte, ist eine bekannte Mischung die schnell zum Hack führt. ;)


    Wann wäre denn ein Root-Server etwas für dich? Wenn du Linux nicht nur zufällig von einer Heft-CD kennst, sondern wirklich im Schlaf, allein über eine Shell installierst, pflegst und im allgemeinen administrierst. Ganz ohne Klicki-Bunti oder Maus. Wenn du täglich die aktuellen Security-Newsletter noch schnell vor dem Zubettgehen sichtest und auf mögliche Treffer mit deinem System vergleichst. Wenn du die wichtigsten Textdateien für deine Konfigurationen kennt und weist wo du diese im System findest und wie man sie editiert. Ach ja, und wenn du natürlich masochistisch genug bist mehr Zeit in die Pflege und Aktualität deines Server zu investieren, als in die Seiten die dann darauf laufen. Jepp, dann könntest du mit einem eigenen Server wirklich glücklich werden.


    Gruß Jan

    Hallo an alle, die geantwortet haben!


    Ich danke euch für die professionellen Ausführungen, Hinweise auf links zum Thema und vor allem für die Zeit, welche Ihr zum Antworten auf dieses Thema aufgewendet habt!!


    Nebenbei an Jan.. Pest, habe bereits im Eröffnungsthread darauf hingewiesen, das es sich hier um einen anderen!!! Hoster handelt. Für Deine ausführliche Erklärung - ein besonderer Dank von mir an dich :thumbup:


    Ich bin zu mehr als 100% genau der selben Meinung wie Ihr! Nämlich, dass der Typ keine Ahnung hat, was er da tut! Deshalb habe ich das Thema auch schon als erledigt gekennzeichnet, da ich es hier niemanden zumuten will, noch weiter Zeit zu verschwenden!

    Zitat von SilOrs67

    Ich bin zu mehr als 100% genau der selben Meinung wie Ihr! Nämlich, dass der Typ keine Ahnung hat, was er da tut! Deshalb habe ich das Thema auch schon als erledigt gekennzeichnet, da ich es hier niemanden zumuten will, noch weiter Zeit zu verschwenden!


    Hab ich Dich richtig verstanden, das ein Hoster(!) xampp für Hosting einsetzt? Welche Art von Servern mit was für einem Betriebssystem wird denn eingesetzt?

    Ich glaube das der Server so schlecht konfiguriert ist, dass nicht mal Schadcode vernünftig läuft... :D


    Wobei es bei Schadcode manchmal aber auch echte "Perlen" zu finden gibt. Einmal kam mir z.B. ein wirklich gut gemachter Datei-Manager über den Weg, der schlanker und umfangreicher als der eXplorer war. Ich sehe schon Flotte in seinem Joomla-Schadcode-Giftschrank wühlen, um zu schauen was davon auch unter Windows laufen könnte...*g*


    Ich würde in diesem Kontext keine langen Diskussionen führen sondern die betroffenen Seiten einfach zu einem anderen Anbieter umziehen. Das ist mit Akeeba Backup schnell erledigt.


    Gruß Jan

    Zitat von Pest

    ... Ich sehe schon Flotte in seinem Joomla-Schadcode-Giftschrank wühlen, um zu schauen was davon auch unter Windows laufen könnte...*g*


    wahr ist allerding das wir im Laufe der Zeit bei der Untersuchung der vielen Hacks in der Tat ein Archiv mit vielen Hackerfiles haben. Erst neulich habe ich mir meinen schönen Testrechner komplett zerschossen als ich in meiner xampp-Umgebung mal wieder so ein Script ansehen wollte. Keine 2 sec später waren sämtliche Files inklusive des Systems (also nicht nur ein Web) verseucht... Natürlich muss ich dazu sagen, das xampp in der Default-Konfig vorlag, lediglich ergänzt um root-PW für MySQL und ohne Internet...

    Hallo,


    da ich höchsten Respekt vor unserer fachmännischen Analyse des Problems habe, möchte ich euch einen kurzen Zwischenstand geben! Dazu hole ich jetzt ein bisschen weiter aus, damit die Problematik auch richtig gedeutet werden kann:


    Ich schreibe ab jetzt in der "nehmen wir mal an" Form, da ich bald vom Glauben abfalle und kurz vor der Schnapp-Atmung angelangt bin..


    also : nehmen wir mal an: Im Jahr 2012 bereits wurde Seitens der "User" Firma ein Wechsel des vorhandenen CMS auf MS Basis inkl Access DB , Homepage wurde damals auf natürlich optimierten MS Servern betrieben, zu Joomla beschlossen und beauftragt.. Während der Herstellung der Seite auf einer subdomain war natürlich noch alles in Ordnung, da meinerseits angenommen wurde, dass dieser Xampp nur für die die Dauer der Herstellung benutzt wird!


    Als dann alles fertig war, war ich der Annahme, das jetzt ein Umzug auf einen Live Server gemacht wird,, pustekuchen.. innerhalb von 5 min war die Seite online!! Ich .. wunder .. wunder.. gucke nach und habe die Situation sofort beanstandet!


    Der Hoster hat mich damals "belehrt" , dass das alles nicht so sei,, und der Xampp auf einen "Sicheren Server" bei InternetX in Nürnberg läge und und und.. die Probleme mit dem apache2handler, wwwrun, usw.. hat er alles abgestritten usw..


    Die "User" Firma vertraut Ihm natürlich und wir.. ich sage bewusst wir,, denn innerhalb der Firma gibt es bis zu drei Mitarbeiter, welche täglich an dieser Homepage arbeiten und nicht gefragt werden.. sondern arbeiten müssen und gut!! Natürlich muss ich das nicht.. und habe immer alles was "nicht funktionierte" passend gemacht.. so dass die Leute dort wenigstens arbeiten können..


    Nun wurde die Seite bereits mitte 2014 über das Jdownloads Sicherheitsleck in der Version 1.9.16 glaub ich .. schlagt mich nicht wegen der Version..gehackt von der bekannten "indonesian hacker group" ,da es immer Probleme schon bei Updates gab.. und diese seitens der Mitarbeiter oft auch etwas spät erledigt wurden. Dieser Hack wurde nicht bemerkt, da niemand.. selbst ich, als ich die Mirgration auf die Version 3 gemacht habe, alle Bilder Ordner checkt.. usw.. die Migration hat geklappt alles hat funktioniert.. ja und gut wars! Die Mitarbeiter selbst, welche täglich damit arbeiten hatten die GIF Dateien auch nicht bemerkt.. bis ich diese vor ca. 2 Wochen gefunden habe.. weil wieder eine Vielzahl von Funktionen im BE nicht gingen und ich eine Säuberungsaktion gestartet hatte um die Probleme zu finden und zu beheben!!


    Darauf hin habe ich natürlich sofort die Firma darüber informiert und die Bildchen wurden gelöscht.... Dann wurde seitens der Firma natürlich beim Hoster nachgefragt .. und dieser hat dann analysiert was ich eh schon bereinigt hatte..


    Dann habe ich bei "Flotte" angerufen. Dein Mitarbeiter hat mir trotz des anscheinend harmlosen Hacks.. dazu geraten alles neu zu machen, da man sich nicht sicher sein kann welche Hintertürchen hinterlassen wurden. Das ist auch meine Meinung aber gut ..


    Dann hatt mich die Firma nach meiner Meinung gefragt zudem, wollten Sie noch andere Meinungen dazu hören und deshalb habe ich überhaupt diese "Büchse der Pandorra" hier geöffnet!!


    Jetzt dazu warum ich kurz vor der Schnapp Atmung angelangt bin!!!


    Die Firmenleitung(will natürlich wissen was los ist) und der Hoster, zusammen mit dem Firmen ITler hatten eine Sitzung .. alle totale Joomla Fremde.. das geben Sie auch zu!.. kamen zum Schluss, dass alles optimal für den Betrieb von Joomla eingestellt ist.. auf dem Xampp..ein Wechsel des Systems derzeit nicht notwendig ist.. Der Hack als nicht so gravierend angesehen wird, um gleich alles neu zu machen und noch eine weitere Externe Meinung über diese Frage eingeholt wird.. (also noch neben eurer und meiner Meinung)
    da der ITler die Meinung des Hosters teilt, dass alles korrekt und optimal eingerichtet ist um Joomla zu betreiben!!