Contenido - Odner - Schreibrechte und die Sicherheit
Verfasst: Mo 11. Sep 2006, 16:21
Hallo liebe Contenido Gemeinde.
Nachdem in der letzten Woche wiedermal einer meiner Server gehackt wurde mache ich mir wiedermal ein bisschen mehr Gedanken und moechte hier mal ueber Probleme, Loesungsansatze und Ideen reden.
Ich setze regelmaessig Seiten mittels Contenido fuer Kunden um und habe daher auf meinen Servern auch schon einige davon liegen. Die Hacker legen Daten ab, es entsteht Traffic, den ich bei Ueberschreitung teuer bezahlen muss. Bei der Anzahl der Systeme ist es mir nicht moeglich alle Seiten taeglich zu Pruefen um schnell reagieren zu koennen.
Vorab, ich weiss, dass die Ordnerberechtigungen die ein CMS benoetigt nicht nur ein Contenido Problem sind sondern vieler Systeme.
Dass groesste Problem sind die Ordner mit 777, da es scheinbar schon viele Hacker gibt die gerne darin Daten oder Programme ablegen. Ich konnte die Anzahl der Ordner auf 2 reduzieren, die diese Rechte benoetigen. Nach der Fertigstellung einer Seite brauchen lediglich der Ordner CACHE und UPLOAD (mit Unterordnern) diese Rechte. Abgesehen einzelner Dateien innerhalb bestimmter Ordner die Schreibrechte benoetigen.
Und genau diese sind natuerlich das Hauptangriffsziel.
Meine Ideen und Fragen gehen jetzt dahin wie man diese Ordner schuetzen koennte.
1. Gibt es die Moeglichkeit mittels einer htaccess zu definieren welche Dateitypen mit Maximalgroesse man in die Ordner ablegen kann. So koennte man die Schreibrechte auf jpg etc. beschraenken. Ich habe auch schon danach gesucht, aber keine Loesung gefunden.
2. Kann man in den Uploadvorgang und die Erstellung von Unterordnern nicht eine Funktion einbauen die den FTP Zugang des Webaccounts nutzt einbauen. Selbiges wuerde fuer die Erstellung der Daten die im Ordner Cache abgelegt werden noetig. Dann waere allerdings wieder das Problem, dass die Zugangsdaten sicher irgendwo hinterlegt werden muessen ohne dass man von Aussen darauf zugreifen kann. Zumindest wuerden dann die Rechte 755 ausreichen.
Ich suche verzweifelt nach einer Loesung diesen Leuten einen Stein in den Weg zu legen und dem Kunden/Bearbeiter trotzdem die Bearbeitung der Webseite zu ermoeglichen.
Ich habe hier schon von einigen Leuten gelesen, denen dasselbe passiert ist, aber ausser den Account wieder saeubern sind keine Ansaetze fuer kuenftige Sicherheit entstanden.
Grundsaetzlich besteht auch dass Problem, dass man im Browser bestimmte Dateien und Ordner gelistet sieht, wenn man die Pfade kennt.
Z.B. http://www.deinedomain.de/contenido/ext ... /tinymce2/
Hauptsaechlich geht es mit in diesem Thread aber um die Ordner mit Schreibrechten und ich hoffe Gleichgesinnte zu finden die vielleicht auch nach der Suche sind hier eine bessere Loesung oder besser gesagt einen wirksamen Schutz zu finden.
mfg lunsen_de
Nachdem in der letzten Woche wiedermal einer meiner Server gehackt wurde mache ich mir wiedermal ein bisschen mehr Gedanken und moechte hier mal ueber Probleme, Loesungsansatze und Ideen reden.
Ich setze regelmaessig Seiten mittels Contenido fuer Kunden um und habe daher auf meinen Servern auch schon einige davon liegen. Die Hacker legen Daten ab, es entsteht Traffic, den ich bei Ueberschreitung teuer bezahlen muss. Bei der Anzahl der Systeme ist es mir nicht moeglich alle Seiten taeglich zu Pruefen um schnell reagieren zu koennen.
Vorab, ich weiss, dass die Ordnerberechtigungen die ein CMS benoetigt nicht nur ein Contenido Problem sind sondern vieler Systeme.
Dass groesste Problem sind die Ordner mit 777, da es scheinbar schon viele Hacker gibt die gerne darin Daten oder Programme ablegen. Ich konnte die Anzahl der Ordner auf 2 reduzieren, die diese Rechte benoetigen. Nach der Fertigstellung einer Seite brauchen lediglich der Ordner CACHE und UPLOAD (mit Unterordnern) diese Rechte. Abgesehen einzelner Dateien innerhalb bestimmter Ordner die Schreibrechte benoetigen.
Und genau diese sind natuerlich das Hauptangriffsziel.
Meine Ideen und Fragen gehen jetzt dahin wie man diese Ordner schuetzen koennte.
1. Gibt es die Moeglichkeit mittels einer htaccess zu definieren welche Dateitypen mit Maximalgroesse man in die Ordner ablegen kann. So koennte man die Schreibrechte auf jpg etc. beschraenken. Ich habe auch schon danach gesucht, aber keine Loesung gefunden.
2. Kann man in den Uploadvorgang und die Erstellung von Unterordnern nicht eine Funktion einbauen die den FTP Zugang des Webaccounts nutzt einbauen. Selbiges wuerde fuer die Erstellung der Daten die im Ordner Cache abgelegt werden noetig. Dann waere allerdings wieder das Problem, dass die Zugangsdaten sicher irgendwo hinterlegt werden muessen ohne dass man von Aussen darauf zugreifen kann. Zumindest wuerden dann die Rechte 755 ausreichen.
Ich suche verzweifelt nach einer Loesung diesen Leuten einen Stein in den Weg zu legen und dem Kunden/Bearbeiter trotzdem die Bearbeitung der Webseite zu ermoeglichen.
Ich habe hier schon von einigen Leuten gelesen, denen dasselbe passiert ist, aber ausser den Account wieder saeubern sind keine Ansaetze fuer kuenftige Sicherheit entstanden.
Grundsaetzlich besteht auch dass Problem, dass man im Browser bestimmte Dateien und Ordner gelistet sieht, wenn man die Pfade kennt.
Z.B. http://www.deinedomain.de/contenido/ext ... /tinymce2/
Hauptsaechlich geht es mit in diesem Thread aber um die Ordner mit Schreibrechten und ich hoffe Gleichgesinnte zu finden die vielleicht auch nach der Suche sind hier eine bessere Loesung oder besser gesagt einen wirksamen Schutz zu finden.
mfg lunsen_de