Seite 2 von 3
Verfasst: Do 24. Jul 2008, 16:58
von tono
Über .htaccess oder vergleichbares schon. Die .htaccess Datei sollte die gesammte Installation umfassen. Frontend, Backend, conlib, usw.
Ein Frontend-Login reicht nicht.
???
Verfasst: Fr 25. Jul 2008, 11:17
von Leo
Hallo,
das Frontend soll auch über .htaccess mit einem Passwort versehen werden? Dann sieht doch der Besucher ohne Passwort auf der Webpräsenz garnichts mehr. Das kann man doch nur für das Backend empfehlen, oder?
Gruß
Leonhard
:-(
Verfasst: Fr 25. Jul 2008, 11:38
von Leo
Noch eine Frage dazu. Betrifft diese Sicherheitslücke eine PHP-Einstellung? Lässt sich das Problem auch damit lösen, dass man register_globals auf off stellt, was natürlich selbst verständlich ist?
Wenn ich meine Log-Files prüfe, bekomme ich manchmal einen Wutanfall über die kriminelle Energie einiger Zeitgenossen.
Mögen Sie in der Hölle schmoren die Hacker-Kids und das andere Gesindel.
Verfasst: Fr 25. Jul 2008, 12:18
von kloevekorn
timo.trautmann_4fb hat geschrieben:Code: Alles auswählen
if (isset($_REQUEST['contenido_path']) || isset($_REQUEST['cfg']) || isset($_REQUEST['cfgClient'])) {
die ('Malicious call!');
}
Bitte nochmal zur Verdeutlichung:
Die obengenannte code-Zeile muss in jede Datei, die die Parameter contenido_path, cfg oder cfgClient verwendet?
Oder in jede Datei, die überhaupt Parameter entgegennimmt?
Prinzipiell funktioniert ein so durchgeführter Angriff aber doch sowieso nicht, wenn register_globals == off gesetzt ist, oder?
Eine 4.6.23 sowie eine 4.6.8 funktionieren offenbar wunderbar mit den globals off, ist man dann schon (in Bezug auf solche Angriffe) sicher?
dank + gruß
vireninfiziert
Verfasst: Sa 26. Jul 2008, 09:58
von Mc
In meinen gehackter Seite (wurde offensichtlich sehr schnell vom Provider gesperrt) habe ich beim Überspielen des contenido-Verzeichnisses auf meinen Rechner vom Virenprogramm eine Warnung bekommen und die Datei in die Quaratäne gesteckt.
Es handelt sich um contenido\includes\r00t.php
Enthält Erkennungsmuster des PHP-Virus PHP/C99Shell.C
Kann man diese Datei bedenkenlos in einem Texteditor öffnen bzw. macht das überhaupt einen Sinn oder die Datei einfach löschen?
Gruß
Mc
Verfasst: Sa 26. Jul 2008, 15:58
von tono
Du kannst die Datei bedenkenlos mit einem Texteditor öffnen. Sinn macht das nicht, ausser Du willst sehen, wie eine Hackershell aufgebaut ist. Du solltest die Datei auf jeden Fall nicht durch öffentliche Netze schicken, das kann Ärger geben.
Verfasst: Mo 28. Jul 2008, 16:40
von Mc
Meine Seite wurde über
contenido/includes/include.newsletter_jobs_subnav.php
gehackt. Contenido-Version war 4.8.4. Ich dächte, da wäre die Lücke schon gesichert.
Ist denn dann wenigstens die 4.8.6 sicher?
Gruß
Mc
Verfasst: Mo 28. Jul 2008, 16:57
von timo.trautmann_4fb
Ja, die Datei in der aktuellen Version nethält die Überprüfung:
if ( $_REQUEST['cfg'] ) {
die('Illegal call');
}
Somit sollte sie gegen die uns bekannten Sicherheitslücken sicher sein.
Die aktuelle Version ist 4.8.6
register_global
Verfasst: Mi 6. Aug 2008, 22:03
von Leo
Hallo,
kann man mit register_global (OFF) das Sicherheitsloch schließen?
Dazu gab es keine klare Antwort.
Gruß
Leonhard
Verfasst: Do 7. Aug 2008, 14:20
von frederic.schneider_4fb
Nein, das stopft die Sicherheitslücken nicht. Es empfiehlt sich dringend ein Update auf 4.8.7.
???
Verfasst: Do 7. Aug 2008, 16:18
von Leo
Hallo frederic,
lässt sich das Problem mit einem geschützten Ordner über htaccess lösen? Bei meiner Site scheint das zu funktionieren.
Danke schon mal für die Antwort!
Gruß
Leonhard
Verfasst: Do 7. Aug 2008, 16:24
von frederic.schneider_4fb
Ich kann die Lösung via .htaccess nicht als "sicher" empfehlen, weil es nicht umsonst eine softwareseitige, in 4.8.7 integrierte offizielle Lösung gibt.
:-(
Verfasst: Do 7. Aug 2008, 16:56
von Leo
Hallo frederic,
ich habe verstanden, es muss ein Update durchgeführt werden. Trotzdem noch mal eine ganz nervige Bemerkung: der Mysqldumper ist doch auch mit einem htaccess-Passwort versehen. Und dieser ist nur mit diesem Login versehen. Das würde ja indirekt bedeuten, dass htaccess nicht sicher ist? Das kann ich mir nicht so richtig vorstellen.
Ok, ich nerve. Ich führe ein Update durch, aber trotzdem werde ich meinen contenido-Ordner zusätzlich schützen.
Man weiß ja nie. Der nächste Bug kommt bestimmt.
Gruß
Leonhard
Verfasst: Do 7. Aug 2008, 16:58
von frederic.schneider_4fb
.htaccess kann nie schaden. Trotzdem solltest du stets die aktuellste Version der Software im Einsatz haben
.
Re: :-(
Verfasst: Do 7. Aug 2008, 17:05
von BagHira
Leo hat geschrieben:der Mysqldumper ist doch auch mit einem htaccess-Passwort versehen. Und dieser ist nur mit diesem Login versehen. Das würde ja indirekt bedeuten, dass htaccess nicht sicher ist? Das kann ich mir nicht so richtig vorstellen.
Hallo Leo,
.htaccess ist sicher und in fall von mysqldumper auch völlig ausreichend, da der dumper in nur einem Verzeichnis liegt welches du über .htaccess schützt.
Bei Contenido ist dies nicht möglich weil du dann ja auch das Frontend sperren würdest - du kannst nur das Backend mit .htaccess schützen...
Die Dateien des Frontend´s sind dabei aber ohne Schutz und angreifbar - deswegen ein Update.