Newbie-Frage: Einloggen misslingt – warum?

[Lars Kähler]

Hallo!

Folgendes Problem auf einem Debian Linux Server: Einloggen per FTP via SequelPro vom Mac-Client aus führt zu folgender Fehlermeldung:

Der Verbindungsversuch mit Host www.global-type.com ist fehlgeschlagen, da der Zugriff verweigert wurde.

Überprüfen Sie Ihren Benutzernamen und Passwort und stellen Sie sicher, dass Sie vom aktuellen Ort aus zugriffsberechtigt sind.

MySQL-Fehler: Access denied for user 'globalt'@'86.103.209.192' (using password: YES)

Der Benutzername stimmt auf jeden Fall, seltsamerweise komme ich aber mit dem PW nicht durch. Dabei müsste auch das korrekt sein, ich habe es vorsichtigerweise sogar noch einmal überschrieben vor dem login-versuch.

TIA

Lars

 

[Walter]

Nachdem Du auch per FTP scheiterst tippe ich mal darauf, dass Dich die Firewall nicht hineinlässt?

 

[Lars Kähler]

Meinst Du? Dann dürfte diese mich doch aber eigentlich auch nicht ins Backend von WordPress gelangen lassen?

 

[akretschmer]

Nachdem Du auch per FTP scheiterst tippe ich mal darauf, dass Dich die Firewall nicht hineinlässt?

Nein, bei "MySQL-Fehler: Access denied for user 'globalt'@'86.103.209.192' (using password: YES)" kommt er ja schon mal bis zum Zettelkasten, die Meldung ist von MySQL. Ich tippe auf das, was da steht: er hat von remote keine Rechte auf MySQL.

 

[Lars Kähler]

Aber ich habe doch schon eine ganze Website mit Tonnen von Bildern dort hochgeladen.

 

[akretschmer]

Aber ich habe doch schon eine ganze Website mit Tonnen von Bildern dort hochgeladen.

Wir können hier nur raten. Wenn es um global-type.com dann wäre der A-Record 46.16.88.187. Da geht aber kein ping und ein nmap auf TCP/21 sagt 'filtered'. 80 auch, und auch 22. Offen ist 3306.

Das sieht, *hüstel*, nicht professionell aus. Für einen Provider in Italien aber vielleicht ausreichend ;-)

Duck und weg.

 

[akretschmer]

btw.: Ports sind jetzt wohl (wieder) offen ;-)

 

[Lars Kähler]

Ähm – ich bin trotz jahrelanger Arbeit in diesem Bereich immer noch jemand, der sich im Netz wie auf Eiern bewegt, zumindest, wenn es um die Basistechnologien geht. Das bitte ich ein klein wenig zu entschuldigen, denn ich stamme aus dem Print-Bereich und bin eher Experte für Typografie. Ich habe solche Dinge bisher fremdvergeben und auch dafür bezahlt.

Was hat es mit diesen Ports auf sich? Mein Stiefbruder sagte mir, die Seite sei »offen wie ein Scheunentor«? Mein Programmierer hat hingegen gesagt, er habe eigentlich alles Notwendige getan.

Wo gibt es eine gute, noch halbwegs verständliche Seite, auf der man Anweisungen für das »Hardening« eines Systems findet? Vielen Dank für jeden wohlmeinenden Ratschlag!

Und: was ist ein »port sniffer«? Kann man damit nicht systematisch und der Reihe nach alle offenen Schnittstellen meines Systems abklappern? Ist es nicht ratsam, hier möglichst wenig offen zu halten? Wie wehre ich mich gegen so etwas?

 

[akretschmer]

Was hat es mit diesen Ports auf sich?

Ein 'offener Port' bedeutet, daß da auf dem Server ein Dienst ist, der Anfragen aus dem Internet beantwortet.

[kretschmer@intra ~]$ nmap 46.16.88.187

Starting Nmap 6.40 ( http://nmap.org ) at 2015-04-27 08:32 CEST
Nmap scan report for ns30.seeoux.com (46.16.88.187)
Host is up (0.049s latency).
Not shown: 978 filtered ports
PORT  STATE  SERVICE
20/tcp  closed ftp-data
21/tcp  open  ftp
25/tcp  open  smtp
26/tcp  closed rsftp
53/tcp  open  domain
80/tcp  open  http
110/tcp  open  pop3
113/tcp  closed ident
143/tcp  open  imap
443/tcp  open  https
465/tcp  open  smtps
993/tcp  open  imaps
995/tcp  open  pop3s
2323/tcp  closed 3d-nfsd
3306/tcp  open  mysql
4662/tcp  closed edonkey
6346/tcp  closed gnutella
6699/tcp  closed napster
6881/tcp  closed bittorrent-tracker
7778/tcp  closed interwise
10000/tcp closed snet-sensor-mgmt
35500/tcp closed unknown

Da ist also z.B. 80 offen - das ist der Webzugang. Das soll sicher so sein. Ob z.B. 53 offen sein soll mußt Du als Betreiber / Egentümer selber wissen, mir kommt das schon mal komisch vor, weil unüblich - Du betreibst sicherleich nicht wissentlich einen DNS-Server, oder? Und ob Dein MySQL direkt von weltweit aus ereichbar sein soll kann ich auch nicht einschätzen.

Mein Stiefbruder sagte mir, die Seite sei »offen wie ein Scheunentor«? Mein Programmierer hat hingegen gesagt, er habe eigentlich alles Notwendige getan.

Du muß noch mal unterscheiden zwischen Server (Ports) und der Seite selbst. Auch kann kann es Lücken geben, die so schnell nicht zu finden sind. Also Lücken in der Applikation. Software wie z.B. Joomla gelten in manchen Kreisen ja mittlerweile als Remote-Wartungsprogramme :-(

Wo gibt es eine gute, noch halbwegs verständliche Seite, auf der man Anweisungen für das »Hardening« eines Systems findet? Vielen Dank für jeden wohlmeinenden Ratschlag!

Das Thema ist zu komplex, um hier in 3 Minuten erklärt werden zu können. Ich arbeite für einen Hosting-Provider, da haben wir für unsere Kunden z.B. Full-Managed-Server, wo der Kunde KEINEN administrativen Zugang hat - dafür haben wir da aber ein entsprechend sinnvoll eingerichtetes System. Da bleibt aber immer noch für den Kunden die Verantwortung für seine eingesetzten Software.

 

[BerndB]

Hi,

ich setze das gleiche ein und frqag mich wie du per FTP eine mysql connection aufbauen willst.

Du solltest per ssh Tunnel die Verbindung aufbauen und dann ist der mysql Host = localhost

Dann sollte auch alles fluppen. Alles andere sind mehr als unsicher.

Gruss

Bernd

 

[Lars Kähler]

Danke vielmals für die ausführliche Antwort. Nein, ich habe nicht erwartet, dass sich ein so komplexes Thema in drei Minuten würde verhandeln lassen. Das weiß ich also schon. Ich dachte nur, es gäbe vielleicht so etwas wie das Dokument »Hardening Mac OS«, das ich hier ja auch durchgeführt habe.

Aber einen Server zu administrieren, ist eine andere Liga. Schon klar. Ich wundere mich aber über die widersprüchlichen Aussagen in meinem Umfeld.

Naja, die Contao-Installation habe ich ja auch nicht selbst gemacht. Nochmals Danke für die Antworten und ich verständige mal meine Programmiererin.