Hackversuche frühzeitig erkennen - offene Diskussion

[rethus]

Jeder der eine Contenido-Installation am Start hat, und gelegentlich die Logs inspiziert, stößt sicherlich auf Versuche ins System einzudringen.
Die Idee hinter diesem Thread ist es, potenzielle Sicherheitslücken frühzeitig zu Erkennen, damit Patches und Bugfixes schneller einfließen können.

Aktuell bin ich auf folgende Einträge in der security.txt aufmerksam geworden:

Code: Alles auswählen

)

2015-07-04 20:54:38    78.183.150.137   
    Query String: idart=-1%27&changelang=3
    Bad parameter: idart
    POST array: Array
(
)

2015-07-04 20:54:38    78.183.150.137   
    Query String: idart=466&changelang=-1%27
    Bad parameter: changelang
    POST array: Array
(
)

2015-07-06 00:36:06    88.68.80.61      
    Query String: page=3'A=0
    Bad parameter: page
    POST array: Array
(
)

2015-07-06 17:08:40    62.133.162.226   
    Query String: idart=464'A=0&changelang=5
    Bad parameter: idart
    POST array: Array
(
)

2015-07-06 17:08:41    62.133.162.226   
    Query String: idart=464&changelang=5'A=0
    Bad parameter: changelang
    POST array: Array
(
)

2015-07-07 00:45:30    178.35.222.51    
    Query String: idart=272'A=0&changelang=4
    Bad parameter: idart
    POST array: Array
(
)

2015-07-07 00:45:31    178.35.222.51    
    Query String: idart=272&changelang=4'A=0
    Bad parameter: changelang
    POST array: Array
(
)

2015-07-08 13:03:35    195.155.209.8    
    Query String: lang=en
    Bad parameter: lang
    POST array: Array
(
)

2015-07-10 14:59:16    58.62.234.179    
    Query String: page=Register
    Bad parameter: page
    POST array: Array
(
)

2015-07-13 11:20:52    83.166.235.133   
    Query String: idart=283'A=0&changelang=3
    Bad parameter: idart
    POST array: Array
(
)

2015-07-13 11:20:53    83.166.235.133   
    Query String: idart=283&changelang=3'A=0
    Bad parameter: changelang
    POST array: Array
(
)

2015-07-13 12:10:56    83.166.235.133   
    Query String: idart=283'A=0&changelang=3
    Bad parameter: idart
    POST array: Array
(
)

2015-07-13 12:10:56    83.166.235.133   
    Query String: idart=283&changelang=3'A=0
    Bad parameter: changelang
    POST array: Array
(
)

2015-07-13 22:49:01    180.241.8.28     
    Query String: idart='326&changelang='5
    Bad parameter: idart
    POST array: Array
(
)

Frage:
Was soll mit den jeweils übergebenen Parametern bezweckt werden (SQL-Injection?) ?
Und welche Contenido-Versionen wären potenziell anfällig dafür?

BTW: Eine Idee die mir gerade beim schreiben kommt: Wäre doch ein cooles Feature, wenn man als Admin in den Logs IP's an eine Zentrale Liste (nur für Contenido-User) melden könnte. Treffen in dieser Liste mehr als 10 Einträge mit dieser IP ein, wird Sie allen anderen Contenido-Installationen als zu sperrende IP vorgeschlagen. Der Redakteur kann dann - je nach Einstellung - diese IP's automatisch, oder durch manuelle Freigabe für sein Contenido sperren lassen.
Das würde Contenido sicherlich in Sachen Sicherheit für neue und bestehende User attraktiv(er) machen?!

[Faar]

Ich würde hierfür vorschlagen, sich das Wordpress-Plugin Wordfence anzuschauen.
Besonders die Live-Ansicht ist interessant, weil man hier sieht was los ist und kann Domains und ganze Bereiche dauerhaft sperren.
Auch die Login-Versuche und die 404-Seiten sind oft Hacking-Versuche.

[rethus]

Kannst du das erklären? Wie kann ein Wordpress-Tool Hackversuche bei Contenido ermitteln und bestimmen?
Ich sehe gerade den Zusammenhang nicht.

[Faar]

Man sollte sich nur die Technik von dem Plugin anschauen und die Herren von 4fb vielleicht in Contenido dies und das davon einbauen... oder irgendwie.
Wir können es nicht, weil es den Core betrifft.

[rethus]

Ach so meinst du das. Jetzt machts .
Danke für deinen Hinweis. Wäre bestimmt ne nette Sache.