Contenido - Odner - Schreibrechte und die Sicherheit

[lunsen_de]

Hallo liebe Contenido Gemeinde.

Nachdem in der letzten Woche wiedermal einer meiner Server gehackt wurde mache ich mir wiedermal ein bisschen mehr Gedanken und moechte hier mal ueber Probleme, Loesungsansatze und Ideen reden.
Ich setze regelmaessig Seiten mittels Contenido fuer Kunden um und habe daher auf meinen Servern auch schon einige davon liegen. Die Hacker legen Daten ab, es entsteht Traffic, den ich bei Ueberschreitung teuer bezahlen muss. Bei der Anzahl der Systeme ist es mir nicht moeglich alle Seiten taeglich zu Pruefen um schnell reagieren zu koennen.

Vorab, ich weiss, dass die Ordnerberechtigungen die ein CMS benoetigt nicht nur ein Contenido Problem sind sondern vieler Systeme.

Dass groesste Problem sind die Ordner mit 777, da es scheinbar schon viele Hacker gibt die gerne darin Daten oder Programme ablegen. Ich konnte die Anzahl der Ordner auf 2 reduzieren, die diese Rechte benoetigen. Nach der Fertigstellung einer Seite brauchen lediglich der Ordner CACHE und UPLOAD (mit Unterordnern) diese Rechte. Abgesehen einzelner Dateien innerhalb bestimmter Ordner die Schreibrechte benoetigen.

Und genau diese sind natuerlich das Hauptangriffsziel.

Meine Ideen und Fragen gehen jetzt dahin wie man diese Ordner schuetzen koennte.

1. Gibt es die Moeglichkeit mittels einer htaccess zu definieren welche Dateitypen mit Maximalgroesse man in die Ordner ablegen kann. So koennte man die Schreibrechte auf jpg etc. beschraenken. Ich habe auch schon danach gesucht, aber keine Loesung gefunden.

2. Kann man in den Uploadvorgang und die Erstellung von Unterordnern nicht eine Funktion einbauen die den FTP Zugang des Webaccounts nutzt einbauen. Selbiges wuerde fuer die Erstellung der Daten die im Ordner Cache abgelegt werden noetig. Dann waere allerdings wieder das Problem, dass die Zugangsdaten sicher irgendwo hinterlegt werden muessen ohne dass man von Aussen darauf zugreifen kann. Zumindest wuerden dann die Rechte 755 ausreichen.

Ich suche verzweifelt nach einer Loesung diesen Leuten einen Stein in den Weg zu legen und dem Kunden/Bearbeiter trotzdem die Bearbeitung der Webseite zu ermoeglichen.

Ich habe hier schon von einigen Leuten gelesen, denen dasselbe passiert ist, aber ausser den Account wieder saeubern sind keine Ansaetze fuer kuenftige Sicherheit entstanden.

Grundsaetzlich besteht auch dass Problem, dass man im Browser bestimmte Dateien und Ordner gelistet sieht, wenn man die Pfade kennt.

Z.B. http://www.deinedomain.de/contenido/ext ... /tinymce2/

Hauptsaechlich geht es mit in diesem Thread aber um die Ordner mit Schreibrechten und ich hoffe Gleichgesinnte zu finden die vielleicht auch nach der Suche sind hier eine bessere Loesung oder besser gesagt einen wirksamen Schutz zu finden.

mfg lunsen_de

[mvf]

Grundsaetzlich besteht auch dass Problem, dass man im Browser bestimmte Dateien und Ordner gelistet sieht, wenn man die Pfade kennt.

Z.B. http://www.deinedomain.de/contenido/ext ... /tinymce2/

dass ist wiedrum leicht zu umgehen:
standard ist bei mir, dass der contenido-ordner unmittelbar nach der installtion per htacess geschützt wird. ok doppelter login für den redakteur, aber wenn 'hacken' und 'security' als keyowrds fallen, dann ist jeder mit dopelltem login zufrieden.

eine andere möglichkeit wäre den ordner anders zu benennen, bzw das backend auf eine subdomain zu schieben

[Halchteranerin]

Grundsaetzlich besteht auch dass Problem, dass man im Browser bestimmte Dateien und Ordner gelistet sieht, wenn man die Pfade kennt.

Das stimmt so nicht. Es liegt am Provider, ob er das Auflisten der Dateien zulaesst oder nicht. Evtl. ist es auch moeglich, das Auflisten mittels .htaccess zu unterbinden, ich bin mir jetzt aber nicht sicher.

[mvf]

... das Auflisten der Dateien zulaesst oder nicht. Evtl. ist es auch moeglich, das Auflisten mittels .htaccess zu unterbinden,...

@ lunsen_de
schau mal nach code in der art in deinen htaccess'en

Code: Alles auswählen

Options +Indexes
IndexOptions FancyIndexing IconsAreLinks

denn normalerweise sollte es IMHO disabled sein und nur explizit per htaccess mit z.b. den 2 zeilen oben zugelassen werden

[lunsen_de]

Hallo, habe eure Anmerkungen gelesen und werde mir das nochmal anschauen.

Wichtiger ist allerdings die Sache der Ordnerberechtigungen (777), der Rest mit dem Listen war nur nebenbei.

mfg lunsen_de

[lunsen_de]

Hallo,

hat keiner eine Meinung, aehnliche Probleme oder Ideen dazu?

mfg lunsen_de

[Dalamar]

Grundsaetzlich besteht auch dass Problem, dass man im Browser bestimmte Dateien und Ordner gelistet sieht, wenn man die Pfade kennt.

Das stimmt so nicht. Es liegt am Provider, ob er das Auflisten der Dateien zulaesst oder nicht. Evtl. ist es auch moeglich, das Auflisten mittels .htaccess zu unterbinden, ich bin mir jetzt aber nicht sicher.

Zur Not bedient man sich einer index.html mit Weiterleitung auf's Root bzw. auf die Domain (0 Sekunden). Die index.html legt man dann in betreffenden Ordnern ab. Nicht die beste Lösung, aber allemal besser als ein naktes, ungeschütztes Verzeichnis.

Ferner !!!könnte!!! man den Upload-Ordner lahm legen und sich des DBFS bedienen. Contenido bietet es ja sehr komfortabel an.
Das Standard-Verzeichnis /cache/ (/logs/, etc. analog) sollte man hingegen als Variable bzw. Konstante in der Frontend-Config definieren, so dass man den Verzeichnisnamen selber wählen kann. Somit wüsste ein potentieller Angreifer nicht wie der Cache-Ordner heißt!

LG,
Christian

[Dodger77]

Bei sinnvollen Einstellungen kann man die Rechte auch restriktiver setzen. Sind z.B. FTP-Benutzer und der Apache in einer Gruppe, dürfte 775 ja schon reichen.
Auch sehr schön macht sich natürlich PHP als CGI statt als Apache-Modul. Da kann man die Rechte noch etwas restriktiver setzen, da der Webserver und FTP-Benutzer der gleiche Benutzer sind.

Zu der index.html würde ich als Alternative "index.php"-Dateien in die Ordner legen mit folgendem Inhalt:

Code: Alles auswählen

<?php
header("Location:/index.php");
exit;
?>