CONTENIDO Forum

Das Diskussionsforum zum Open Source Content Management System
https://forum.contenido.org/

.inc Dateien im Browser lesbar

https://forum.contenido.org/viewtopic.php?f=109&t=13434

Seite 1 von 1

.inc Dateien im Browser lesbar

Verfasst: So 16. Jul 2006, 20:43
von munin
Hallo Zusammen,

meine 4.5.2 war 4 Tage lang Angriffen ausgesetzt. Die haben es versucht mit:
[11-Jul-2006 20:09:07] /newcms/picture.php?idart=26&picture=87 next_record called with no query pending.
[11-Jul-2006 20:09:07] /newcms/picture.php?idart=26&picture=87 connect(localhost, schweizerhof, $Password) failed.
[11-Jul-2006 20:09:07] PHP Warning: mysql_connect(): Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (11) in /var/www/mnt-hdc1/var.www.html/schweizerhof/newcms/conlib/db_mysql.inc on line 76
und:
[13-Jul-2006 04:00:53] PHP Warning: mysql_connect(): Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (11) in /var/www/mnt-hdc1/var.www.html/schweizerhof/newcms/conlib/db_mysql.inc on line 76
[12-Jul-2006 21:52:27] /newcms/picture.php Invalid SQL: SELECT * from con_fotos WHERE foto_id = <br><br>
[12-Jul-2006 21:52:27] /newcms/picture.php next_record called with no query pending.
[12-Jul-2006 21:52:27] /newcms/picture.php Invalid SQL: SELECT * from con_fotos WHERE album_id = ORDER by foto_pos<br><br>
[12-Jul-2006 21:52:27] /newcms/picture.php next_record called with no query pending.
[12-Jul-2006 21:52:27] /newcms/picture.php Invalid SQL: SELECT * FROM con_fotoalbum WHERE idart = <br><br>
Mir ist nicht ganz klar, was sie damit erreichen wollten (bis zu 45 mal in der Sec. eine $Password failed Meldung) aber sie haben wohl nichts erreicht.

Dabei ist mir aufgefallen, das die .inc Dateien mit dem Browser aufgerufen gelesen werden können. Alle .js Scripte ebenso. Ist das nicht ein Sicherheitsrisiko?
Die .inc Dateien habe ich mit:

<Files *.inc>
order allow,deny
deny from all
</Files>

gesperrt, die .js Scripte konnte ich nicht sperren, dann lief Contenido nicht mehr, bzw. das Backend war navigationslos. Mit PHP und der Apache Konfiguration mit .htaccess kenn ich mich nicht so gut aus.
Gibt es da eine Lösung?
PS: Ich weiß ist keine Produktivversion, aber ein Update mit den Modulen ist nicht so leicht gemacht, wird aber bald sein.

Grüße an die Community, Andreas

Verfasst: Mo 17. Jul 2006, 05:38
von emergence
connect(localhost, schweizerhof, $Password) failed.
bedeutet an sich nur das dein db server nicht erreichbar war...

die anderen meldungen bedeuten dann nur das die sql abfragen ebenfalls nicht funktioniert haben...

frag deinen provider, er wird dir den db server ausfall im normalfall bestätigen können...

Verfasst: Mo 17. Jul 2006, 19:55
von munin
Hallo emergence,

in dem fraglichen Zeitraum hat es keine Störungen des DB Servers gegeben. Der Provider hält den ganzen Vorgang auch für einen Angriffsversuch. Während der (...,$Password) failed Ausgaben war die Seite nicht aufzurufen. Außerdem hat er mich darauf aufmerksam gemacht, dass die .inc Scripte im Klartext anzuschauen sind.

Gruß, Andreas

Verfasst: Di 18. Jul 2006, 08:11
von kummer
im allgemeinen sind dateien mit der erweiterung inc lesbar. das sollte nicht so sein. entweder müssen diese die erweiterung php erhalten oder - besser - du lässt diese parsen wie die php-dateien auch.

js-dateien sind immer lesbar. wenn dem nicht so wäre, könnte auch der browser nichts damit anfangen. das ist eigentlich auch kein sicherheitsproblem.
Alle Zeiten sind UTC+01:00
Seite 1 von 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/