CONTENIDO Forum

Das Diskussionsforum zum Open Source Content Management System
https://forum.contenido.org/

Seite gehackt trotz Contenido 4.6.4

https://forum.contenido.org/viewtopic.php?t=10904

Seite 5 von 5

Verfasst: Do 2. Feb 2006, 20:51
von DoroM
@ risibility:
Darf man mal fragen, welche Zugangsdaten Du benutzt hast?
Evtl. mit "Sysadmin" oder "Admin", was man zukünftig als leichtsinnig betrachten sollte?
Wären nicht schon 95% der Angriffe abgewährt, wenn man die nicht mehr benutzen würde und mit einer htuser-Datei zusätzlich sichert?

verunsicherte Grüße :roll:
DoroM

Verfasst: Do 2. Feb 2006, 21:01
von apicalart
@Doro

Du magst sicherlich recht haben. Wer da noch mit den Standard Benutzerkennungen unterwegs ist für sysadmin und admin, der könnte auch genauso gut ein Schild raushängen " Herzlich Willkommen " Hacker haben freien Eintritt.

Aber mit den 95% wäre ich da äußerst vorsichtig. Wir haben die Schotten mit dem Sicherheitsupdate dichtgemacht und register globals und url fopen abgeschaltet. Das müsste es "hoffentlich" ( schwitz ) für Hacker :evil: gewesen sein.

Verfasst: Do 2. Feb 2006, 21:52
von DoroM
Würde mich trotzdem mal interessieren, wie alle die, die hier wegen Hackerangriffen klagen, ins System kommen.
Ich mach meine Seiten jetzt jedenfalls mit kryptischen Kombinationen dichter.
Gruß
Doro

Verfasst: Do 2. Feb 2006, 21:58
von stese
da wiegst du dich in falscher sicherheit, denn die hackangriffe kommen eben nicht über das login formular sondern über sicherheitslöcher in dateien, die auch ohne dass man irgendein passwort eingibt schadcode ausführen können. solange du dein komplettes contenido verzeichnis nicht per .htaccess passwort schützt, kann jeder rein, wenn du die patches nicht eingespielt hast oder servereinstellungen entschärft hast

Verfasst: Do 2. Feb 2006, 22:13
von DoroM
Was soll denn da drin stehen?
Meinst Du eine htuser-Datei?

Verfasst: Do 2. Feb 2006, 22:21
von stese
ja die könnte unter umständen gebraucht werden, aber in der .htaccess wird normalerweise erst einmal festgelegt wer das verzeichnis überhaupt betreten darf (der part access im dateinamen sagt es ja schon). in dieser datei wird dann auf eine .htpasswd verwiesen wo die passwörter und usernames stehen - die htuser brauchst du nicht unbedingt, nur wenn du schöner und überischtlicher deine user verwalten willst.

Verfasst: Do 2. Feb 2006, 22:53
von DoroM
Wie ist das eigentlich mit den Dateirechten?
An verschiedenen Stellen funktioniert das System ja nur, wenn man 777-Rechte vergibt. Ist das nicht auch ein Scheunentor für böswillige Menschen?

Verfasst: Do 2. Feb 2006, 23:07
von stese
ja auch. problem: das upload verzeichnis und logfiles haben meist immer rechte zu schreiben - das verhindert also nicht, dass böswillige angreifer einfach irgendwelche movies bei dir lagern die sie dann zum saugen anbieten und du auf deinen hunderten gigabyte wenn nicht gar terrabyte traffic sitzen bleibst
Alle Zeiten sind UTC+01:00
Seite 5 von 5

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de