Seite 1 von 1
Hackerangriff? Oder Suche nach Contenido-Systemen?
Verfasst: Di 6. Nov 2007, 16:30
von derSteffen
Hallo,
ich habe gerade mein Google-Konto (Google-Sitemap) angeschaut ud finde dort unter dem Punkt Statistiken / Die häufigsten Suchanfragen folgende Suchanfragen (Auszug): file_put_contents, "function file put contents", "cache 1", stream cacher, url cache, file_put_contents php, php file_put_contents
und Google verweist dann immer auf meine Seite Aktuelles (hier befindet sich eine AdvancedArticleList drin) und unter dem Google-Eintrag steht:
Code: Alles auswählen
Warning: file_put_contents(/www/htdocs/xxxxxxx/cms/cache/locationstring-url-cache-1.txt) [function.file-put-contents]: failed to open stream: Permission ...
Wenn ich die Seite allerdings aufrufe, steht da nichts von Warning: etc. auch nicht im Quelltext!
Sucht hier jemand gezielt nach Contenido-Systemen? Ich verwende 4.6.15 MR und mußte vor kurzem mein PHP über Fast-CGI laufen lassen.
Danke
MfG Steffen
Re: Hackerangriff? Oder Suche nach Contenido-Systemen?
Verfasst: Mi 7. Nov 2007, 14:50
von derSteffen
Ich bin ein bisschen nervös! Was sagt Ihr denn dazu?
Verfasst: Mi 7. Nov 2007, 15:41
von kummer
also ich vermute mal (genau weiss ich es allerdings nicht), dass eines deiner module versucht, einen text im dateisystem zu cachen. dafür ist die funktion file_put_contents eigentlich ja da. wenn du ein locationstring-modul im einsatz hast, würde ich mal schauen, ob das den eintrag verursacht.
nun werden ja alle fehlermeldungen durch contenido unterdrückt und landen im errorlog. deshalb kannst du auch nichts sehen, wenn du auf die seite gehst.
Verfasst: Mi 7. Nov 2007, 17:01
von wosch
Du kannst mal mit einem FTP_Prog nachsehen was im Verzeichnis cms/cache für Dateien sind.
Normalerweise werden dort nur Thumbnails von Bildern gecached.
Sind dort andere Dateien als .jpg hinterlegt, lad sie runter schau sie dir mit einem txt-Editor genau an.
Löschen des Caches wäre auch ein gute Idee.
Verfasst: Mi 7. Nov 2007, 17:28
von Dodger77
wosch hat geschrieben:Normalerweise werden dort nur Thumbnails von Bildern gecached.
Und natürlich die 'locationstring-url-cache-X.txt', die dort vom Pathresolver abgelegt wird. Die dient als Zwischenspeicher für die Zuordnung von Pfad und $idcat.
Verfasst: Mi 7. Nov 2007, 17:37
von kummer
und genau diese kann offenbar nicht geschrieben werden, da die rechte dafür nicht auzureichen scheinen.
Verfasst: Mi 7. Nov 2007, 19:54
von derSteffen
Also ich danke euch erstmal ganz herzlich für eure Antworten, man wird ja schon richtig paranoid.
Also ich habe jetzt einfach mal meine locationstring-url-cache-1.txt mit CHMOD 777 hinterlegt.
Mir wäre das alles auch gar nicht aufgefallen, da ja auch keine Fehlermeldung und alles funktioniert.
Ich hatte jetzt nur den verdacht, das man gezielt nach solche Befehlen/Dateien im Internet sucht um dynamische Systeme zu finden und dort eventuell Schaden aus zu üben, weil immerhin waren das ja Suchanfragen, welche in Google registriert wurden.
Was sagt Ihr dazu?
MfG Steffen
Verfasst: Do 8. Nov 2007, 13:04
von peeterman
IMHO ist die datei mit CHMOD 777 beschreibbar und kann hier externe code eingeschleusst werden. Und das ist genau wo die auf hinaus möchten. Eine einladung halt.
Ist allow_url_fopen in php.ini off?
man wird ja schon richtig paranoid
Zu diesen thema möchte ich die contenido gemeinschaft mal fragen ob es machbar waehre das backend in ein separate vhost laufen zu lassen.
Mein szenario waehre:
Code: Alles auswählen
php_admin_value open_basedir /path/to/http
vhost contenido
documentroot /path/to/http/contenido
vhost mandant
documentroot /path/to/http/cms
Jetzt koennte man das cms auf ein andere port laufen lassen und per netfilter gegen ungewunschte besucher schutzen. Ich bin mir allerdings nicht im klaren wie uploads in diesen szenario gehandhabt werden. Vielleicht mit
Code: Alles auswählen
alias mandant/cache /path/to/http/cms/cache
alias mandant/css /path/to/http/cms/css
alias mandant/usw /path/to/http/cms/usw
Das vorteil waehre natürlich das die 'verletzbare' contenido files
nicht mehr direkt verfügbar sind. Und man schläft besser
Gibt es irgend ein knock-out für dieses szenario???
Verfasst: Mo 12. Nov 2007, 23:49
von HerrB
Ich gestehe, dass ich keine Ahnung von der vhost-Technik habe.
Wenn die Abschirmung aber nicht nur für http, sondern auch für normalen Datentransfer auf dem Server gilt, geht es nicht, da natürlich Code aus dem contenido-Verzeichnis aus der front_content.php des Mandanten aufgerufen wird.
Ansonsten ist eine .htaccess im Contenido-Verzeichnis eine gute Idee...
Gruß
HerrB
Verfasst: Di 13. Nov 2007, 08:56
von peeterman
Die frage die sich stellt ist ob es sich ausschliesslich um php includes handelt oder ob auch daten
per web browser abgerufen werden. php includes werden auf server ebene abgehandelt.
Hier gilt nur open_basedir als einschraenkung. So weit ich bis jetzt nachvorziehen koennte gibt es
auf der mandanten website keine referenzen and das html pfad auf das contenido backend.
Ich kenne mich aber nicht genug mit contenido aus um dies definitiv sagen zu koennen.
Falls interesse existiert an dieses loesung (getrennte vhosts fuer contenido und mandanten
zwecks zugriffskontrolle auf ipfilter ebene) bin ich bereit ein testszenario auf zu setzen
und ein erfahrungsbericht zu schreiben.
Ein soelches szenario erlaubt zusaetlich ein saubere trennung der mandanten.