CONTENIDO Forum

Hallo, ich habe die letzten Tagen Einträge in der security.txt in der Form
Was bedeutet das? Muss ich darauf reagieren bzw. ist die Sicherheit meines CMS gefährdet?

Guten Morgen,

die elfinder.html gibt es standardmäßig nicht in CONTENIDO. Befindet sie sich auf Deinem Webserver? Prinzipiell gibt diese Datei immer einen Hinweis darauf, dass etwas in einer Art und/oder Weise aufgerufen wurde, die vom System als nicht normal erkannt wurde. security.txt-Einträge können allerdings auch mal im normalen Betrieb passieren, sodass es nicht zwingend bedeutet, dass jemand widerrechtlich das System manipulieren wollte. Es ist allerdings in Deinem Fall, auch augrund des angegebenen Query-Strings, ein deutliches Anzeichen, dass hier jemand etwas ausprobiert hat. Die IP-Adresse gehört nicht zu Dir?

Morgen Frederic, die IP Adresse ist nicht von uns und die elfinder.html ist auch nicht auf dem Server. Ausprobieren kann ja jeder, das wird man nicht verhindern können. Solange wie die keine Schaden anrichten können ist ja auch alles gut. Deswegen ja auch die Fragen ob man darauf reagieren muss?

Ich habe oben die IP-Adresse übrigens mal aus dem Beitrag entfernt.
Also, ich sehe persönlich keine akute Gefahr. Wie Du selbst schreibst, sieht das erst einmal nur so aus, dass jemand etwas ausprobiert hat. Ich würde auf alle Fälle überprüfen, ob es sonstige Auffälligkeiten gab. Ggf. sicherheitshalber auch die Kennwörter ändern. Es gibt aber aufgrund der geposteten Sicherheitsmeldung keinerlei Anzeichen, dass das "Hacken" gelungen ist. Der Aufruf hätte auch nichts ausgewirkt. Die Anregung mit den Kennwörtern ist deshalb eher allgemeiner Art, sobald es Vermutungen gibt, dass es Angriffe gab. Grundsätzlich würde ich in nächster Zeit die Sache mit etwas mehr Aufmerksamkeit verfolgen. Zusammengefasst: Für mich sieht das eher nach einem Versuch aus. Nicht nach mehr. Erhöhte Aufmerksamkeit ist bei sowas aber immer richtig!

Wenn man ein Programm (Plugin?) in Contenido hätte, das Logins und Deeplinks (404) überwacht, könnte man diese Adressen blockieren, die nach Fehlern oder Hackerprogrammen suchen.
Das mache ich in Wordpress so, wenn mir bestimmte Adressen auffallen, die verschiedenste Plugins, Themes, Textfiles und Programm-Dateien suchen, die es dort nicht gibt.
Die hinterlassen meistens oder alle auch eine 404 Meldung.
Häuft sich das, wird die Adresse geblockt.

Bei Contenido müsste das Blocken ja auch gleich am Anfang (index.php ?) sein, aber da kommt ein Plugin oder eine Chain vermutlich gar nicht hin, oder?

Faar hat geschrieben:Bei Contenido müsste das Blocken ja auch gleich am Anfang (index.php ?) sein, aber da kommt ein Plugin oder eine Chain vermutlich gar nicht hin, oder?

Ohne es ausprobiert zu haben, aber das sollte eigentlich möglich sein. Die index.php inkludiert ja die startup.php, womit prinzipiell schon einmal viel machbar ist .

Servus,

frederic.schneider_4fb hat geschrieben:

Faar hat geschrieben:Bei Contenido müsste das Blocken ja auch gleich am Anfang (index.php ?) sein, aber da kommt ein Plugin oder eine Chain vermutlich gar nicht hin, oder?

Ohne es ausprobiert zu haben, aber das sollte eigentlich möglich sein. Die index.php inkludiert ja die startup.php, womit prinzipiell schon einmal viel machbar ist .

Keine Chance per Plugin Plugins werden erst nach dem Init des Bootstrap in der index.php geladen und sind daher erst nach erfolgtem Login greifbar.
Daher ist auch eine Einbindung per Chain in einem Plugin nicht möglich.

Legt man manuell Hand an, dann ist die Einbindung per Chain und einer lokalen Konfigurations-Datei als möglich. Die CEC wird nämlich in der startup.php initiiert, und zwar vor der Einbindung der lokalen Konfiguration.
Man kann an dieser Stelle aber auch gleich eine externe Datei includieren, die die Verarbeitung entsprechend übernimmt.

Gruß aus Franken

Ortwin