.inc Dateien im Browser lesbar

Gesperrt
munin
Beiträge: 18
Registriert: So 7. Mär 2004, 19:21
Wohnort: Lueneburger Heide
Kontaktdaten:

.inc Dateien im Browser lesbar

Beitrag von munin » So 16. Jul 2006, 20:43

Hallo Zusammen,

meine 4.5.2 war 4 Tage lang Angriffen ausgesetzt. Die haben es versucht mit:
[11-Jul-2006 20:09:07] /newcms/picture.php?idart=26&picture=87 next_record called with no query pending.
[11-Jul-2006 20:09:07] /newcms/picture.php?idart=26&picture=87 connect(localhost, schweizerhof, $Password) failed.
[11-Jul-2006 20:09:07] PHP Warning: mysql_connect(): Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (11) in /var/www/mnt-hdc1/var.www.html/schweizerhof/newcms/conlib/db_mysql.inc on line 76
und:
[13-Jul-2006 04:00:53] PHP Warning: mysql_connect(): Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (11) in /var/www/mnt-hdc1/var.www.html/schweizerhof/newcms/conlib/db_mysql.inc on line 76
[12-Jul-2006 21:52:27] /newcms/picture.php Invalid SQL: SELECT * from con_fotos WHERE foto_id = <br><br>
[12-Jul-2006 21:52:27] /newcms/picture.php next_record called with no query pending.
[12-Jul-2006 21:52:27] /newcms/picture.php Invalid SQL: SELECT * from con_fotos WHERE album_id = ORDER by foto_pos<br><br>
[12-Jul-2006 21:52:27] /newcms/picture.php next_record called with no query pending.
[12-Jul-2006 21:52:27] /newcms/picture.php Invalid SQL: SELECT * FROM con_fotoalbum WHERE idart = <br><br>
Mir ist nicht ganz klar, was sie damit erreichen wollten (bis zu 45 mal in der Sec. eine $Password failed Meldung) aber sie haben wohl nichts erreicht.

Dabei ist mir aufgefallen, das die .inc Dateien mit dem Browser aufgerufen gelesen werden können. Alle .js Scripte ebenso. Ist das nicht ein Sicherheitsrisiko?
Die .inc Dateien habe ich mit:

<Files *.inc>
order allow,deny
deny from all
</Files>

gesperrt, die .js Scripte konnte ich nicht sperren, dann lief Contenido nicht mehr, bzw. das Backend war navigationslos. Mit PHP und der Apache Konfiguration mit .htaccess kenn ich mich nicht so gut aus.
Gibt es da eine Lösung?
PS: Ich weiß ist keine Produktivversion, aber ein Update mit den Modulen ist nicht so leicht gemacht, wird aber bald sein.

Grüße an die Community, Andreas

emergence
Beiträge: 10641
Registriert: Mo 28. Jul 2003, 12:49
Wohnort: Austria
Kontaktdaten:

Beitrag von emergence » Mo 17. Jul 2006, 05:38

connect(localhost, schweizerhof, $Password) failed.
bedeutet an sich nur das dein db server nicht erreichbar war...

die anderen meldungen bedeuten dann nur das die sql abfragen ebenfalls nicht funktioniert haben...

frag deinen provider, er wird dir den db server ausfall im normalfall bestätigen können...
*** make your own tools (wishlist :: thx)

munin
Beiträge: 18
Registriert: So 7. Mär 2004, 19:21
Wohnort: Lueneburger Heide
Kontaktdaten:

Beitrag von munin » Mo 17. Jul 2006, 19:55

Hallo emergence,

in dem fraglichen Zeitraum hat es keine Störungen des DB Servers gegeben. Der Provider hält den ganzen Vorgang auch für einen Angriffsversuch. Während der (...,$Password) failed Ausgaben war die Seite nicht aufzurufen. Außerdem hat er mich darauf aufmerksam gemacht, dass die .inc Scripte im Klartext anzuschauen sind.

Gruß, Andreas

kummer
Beiträge: 2423
Registriert: Do 6. Mai 2004, 09:17
Wohnort: Bern, Schweiz
Kontaktdaten:

Beitrag von kummer » Di 18. Jul 2006, 08:11

im allgemeinen sind dateien mit der erweiterung inc lesbar. das sollte nicht so sein. entweder müssen diese die erweiterung php erhalten oder - besser - du lässt diese parsen wie die php-dateien auch.

js-dateien sind immer lesbar. wenn dem nicht so wäre, könnte auch der browser nichts damit anfangen. das ist eigentlich auch kein sicherheitsproblem.
aitsu.org :: schnell - flexibel - komfortabel :: Version 2.2.0 (since June 22, 2011) (jetzt mit dual license GPL/kommerziell)

Gesperrt