Logs in der security.txt

Fragen zur Installation von CONTENIDO 4.9? Probleme bei der Konfiguration? Hinweise oder Fragen zur Entwicklung des Systemes oder zur Sicherheit?
Antworten
shi
Beiträge: 251
Registriert: Fr 5. Nov 2004, 14:12
Kontaktdaten:

Logs in der security.txt

Beitrag von shi » Di 13. Sep 2016, 08:45

Hallo, ich habe die letzten Tagen Einträge in der security.txt in der Form

Code: Alles auswählen

2016-09-12 22:35:55      
    Query String: idart=210/uteplist/plugins/TinyMCEPlugin/elfinder/elfinder.html
    Bad parameter: idart
    POST array: Array
(
)

    GET array: Array
(
    [idart] => 210/uteplist/plugins/TinyMCEPlugin/elfinder/elfinder.html
)

    COOKIE array: Array
(
)
Was bedeutet das? Muss ich darauf reagieren bzw. ist die Sicherheit meines CMS gefährdet?
Zuletzt geändert von frederic.schneider_4fb am Do 22. Sep 2016, 09:05, insgesamt 1-mal geändert.
Grund: IP-Adresse entfernt

frederic.schneider_4fb
Beiträge: 967
Registriert: Do 15. Apr 2004, 17:12
Wohnort: Eschborn-Niederhöchstadt
Kontaktdaten:

Re: Logs in der security.txt

Beitrag von frederic.schneider_4fb » Do 22. Sep 2016, 08:38

Guten Morgen,

die elfinder.html gibt es standardmäßig nicht in CONTENIDO. Befindet sie sich auf Deinem Webserver? Prinzipiell gibt diese Datei immer einen Hinweis darauf, dass etwas in einer Art und/oder Weise aufgerufen wurde, die vom System als nicht normal erkannt wurde. security.txt-Einträge können allerdings auch mal im normalen Betrieb passieren, sodass es nicht zwingend bedeutet, dass jemand widerrechtlich das System manipulieren wollte. Es ist allerdings in Deinem Fall, auch augrund des angegebenen Query-Strings, ein deutliches Anzeichen, dass hier jemand etwas ausprobiert hat. Die IP-Adresse gehört nicht zu Dir?
Frederic Schneider
Entwickler bei der four for business AG

shi
Beiträge: 251
Registriert: Fr 5. Nov 2004, 14:12
Kontaktdaten:

Re: Logs in der security.txt

Beitrag von shi » Do 22. Sep 2016, 09:00

Morgen Frederic, die IP Adresse ist nicht von uns und die elfinder.html ist auch nicht auf dem Server. Ausprobieren kann ja jeder, das wird man nicht verhindern können. Solange wie die keine Schaden anrichten können ist ja auch alles gut. Deswegen ja auch die Fragen ob man darauf reagieren muss?

frederic.schneider_4fb
Beiträge: 967
Registriert: Do 15. Apr 2004, 17:12
Wohnort: Eschborn-Niederhöchstadt
Kontaktdaten:

Re: Logs in der security.txt

Beitrag von frederic.schneider_4fb » Do 22. Sep 2016, 09:08

Ich habe oben die IP-Adresse übrigens mal aus dem Beitrag entfernt.
Also, ich sehe persönlich keine akute Gefahr. Wie Du selbst schreibst, sieht das erst einmal nur so aus, dass jemand etwas ausprobiert hat. Ich würde auf alle Fälle überprüfen, ob es sonstige Auffälligkeiten gab. Ggf. sicherheitshalber auch die Kennwörter ändern. Es gibt aber aufgrund der geposteten Sicherheitsmeldung keinerlei Anzeichen, dass das "Hacken" gelungen ist. Der Aufruf hätte auch nichts ausgewirkt. Die Anregung mit den Kennwörtern ist deshalb eher allgemeiner Art, sobald es Vermutungen gibt, dass es Angriffe gab. Grundsätzlich würde ich in nächster Zeit die Sache mit etwas mehr Aufmerksamkeit verfolgen. Zusammengefasst: Für mich sieht das eher nach einem Versuch aus. Nicht nach mehr. Erhöhte Aufmerksamkeit ist bei sowas aber immer richtig!
Frederic Schneider
Entwickler bei der four for business AG

Faar
Beiträge: 1915
Registriert: Sa 8. Sep 2007, 16:23
Wohnort: Brandenburg
Kontaktdaten:

Re: Logs in der security.txt

Beitrag von Faar » Do 22. Sep 2016, 10:23

Wenn man ein Programm (Plugin?) in Contenido hätte, das Logins und Deeplinks (404) überwacht, könnte man diese Adressen blockieren, die nach Fehlern oder Hackerprogrammen suchen.
Das mache ich in Wordpress so, wenn mir bestimmte Adressen auffallen, die verschiedenste Plugins, Themes, Textfiles und Programm-Dateien suchen, die es dort nicht gibt.
Die hinterlassen meistens oder alle auch eine 404 Meldung.
Häuft sich das, wird die Adresse geblockt.

Bei Contenido müsste das Blocken ja auch gleich am Anfang (index.php ?) sein, aber da kommt ein Plugin oder eine Chain vermutlich gar nicht hin, oder?
Fliegt der Bauer übers Dach, ist der Wind weißgott nicht schwach.

frederic.schneider_4fb
Beiträge: 967
Registriert: Do 15. Apr 2004, 17:12
Wohnort: Eschborn-Niederhöchstadt
Kontaktdaten:

Re: Logs in der security.txt

Beitrag von frederic.schneider_4fb » Do 22. Sep 2016, 10:49

Faar hat geschrieben:Bei Contenido müsste das Blocken ja auch gleich am Anfang (index.php ?) sein, aber da kommt ein Plugin oder eine Chain vermutlich gar nicht hin, oder?
Ohne es ausprobiert zu haben, aber das sollte eigentlich möglich sein. Die index.php inkludiert ja die startup.php, womit prinzipiell schon einmal viel machbar ist ;-).
Frederic Schneider
Entwickler bei der four for business AG

Oldperl
Beiträge: 4250
Registriert: Do 30. Jun 2005, 22:56
Wohnort: Eltmann, Unterfranken, Bayern
Kontaktdaten:

Re: Logs in der security.txt

Beitrag von Oldperl » Do 22. Sep 2016, 16:40

Servus,
frederic.schneider_4fb hat geschrieben:
Faar hat geschrieben:Bei Contenido müsste das Blocken ja auch gleich am Anfang (index.php ?) sein, aber da kommt ein Plugin oder eine Chain vermutlich gar nicht hin, oder?
Ohne es ausprobiert zu haben, aber das sollte eigentlich möglich sein. Die index.php inkludiert ja die startup.php, womit prinzipiell schon einmal viel machbar ist ;-).
Keine Chance per Plugin :!: Plugins werden erst nach dem Init des Bootstrap in der index.php geladen und sind daher erst nach erfolgtem Login greifbar.
Daher ist auch eine Einbindung per Chain in einem Plugin nicht möglich.

Legt man manuell Hand an, dann ist die Einbindung per Chain und einer lokalen Konfigurations-Datei als möglich. Die CEC wird nämlich in der startup.php initiiert, und zwar vor der Einbindung der lokalen Konfiguration.
Man kann an dieser Stelle aber auch gleich eine externe Datei includieren, die die Verarbeitung entsprechend übernimmt.

Gruß aus Franken

Ortwin
ConLite 2.1, alternatives und stabiles Update von Contenido 4.8.x unter PHP 7.x - Download und Repo auf Gitport.de
phpBO Search Advanced - das Suchwort-Plugin für CONTENIDO 4.9
Mein Entwickler-Blog

Antworten