Contenido 4.8.xx Angriff - gehackt

Fragen zur Installation von CONTENIDO 4.9? Probleme bei der Konfiguration? Hinweise oder Fragen zur Entwicklung des Systemes oder zur Sicherheit?
Antworten
sarronsarron
Beiträge: 251
Registriert: Do 10. Mär 2011, 17:02
Wohnort: Erlangen
Kontaktdaten:
Kontaktdaten von sarronsarron

Re: Contenido 4.8.xx Angriff - gehackt

Beitrag von sarronsarron »

Hallo xmurrix,

woran sehe ich ob was von außen reinkommt.

Gruß Sarron
Nach oben
xmurrix
Beiträge: 3215
Registriert: Do 21. Okt 2004, 11:08
Wohnort: Augsburg
Hat sich bedankt: 4 Mal
Danksagung erhalten: 17 Mal
Kontaktdaten:
Kontaktdaten von xmurrix

Re: Contenido 4.8.xx Angriff - gehackt

Beitrag von xmurrix »

sarronsarron hat geschrieben:...woran sehe ich ob was von außen reinkommt...
GET
In den Apache Logs siehst du das anhand ungewöhlicher GET Requests, also Requests, die keine üblichen Parameter/Wert Paare emthalten.
In der Regel weiß man, welche Parameter im Frontend in welchen Seiten verwendet werden (Loginformular, Kontaktformular, Pager für Bildergalerie, usw.) Wenn da Requests vorkommen, die aber andere Parameter enthalten oder nicht übliche Werte enthalten, dann kann das ein Hinweis sein.

Das kann auch für das Backend gelten. Eigentlich ist das Backend Sicher, aber 100% kann ich das nicht sagen, man weiß es nie. Hier werden Bereiche mit Parametern wie idart, idcat, client, lang, action, sid usw. aufgerufen. Wenn da etwas ungewöhliches dabei ist, könnte das ein Hinweis sein.

Wenn du z. B. das AMR-Plugin verwendest, hat es einige Regeln in der .htaccess drin, die die CONTENIDO Installation gegen bekannte Angriffe schützt, und auch im Core wurden einige Sicherheitsmaßnahmen umgesetzt. Allerdings schützen diese nicht von Modulcodes, Plugins oder anderen Scripten, die ihre eigenen Lücken haben. Du kannst also alle Module, Plugins oder eigenständige Scripte, die mit Parametern von außen interagieren, auf eventuelle Probleme prüfen.

POST
Post requests werden normalerweise nicht protokolliert, da man per Post größere Datenmengen an den Server schicken kann, das wäre unperformant und würde auch sehr viel Platz verschwenden. Hier kannst du auch Module, Plugins oder eigene Scripte, die mit POST Variablen arbeiten, auf schwachstellen hin Prüfen.

FTP
Bei FTP Logs musst du schauen, ob ein Zugriff mit ungewöhnlichen IP-Adressen stattgefunden hat, und ob dabei Änderungen an den besagten Dateien gemacht wurden, siehe Artikel zum Format der FTP-Logs:
http://www.gnode.net/reading-ftp-logs-i ... og-format/

Kannst mir auch gerne deine Logs (keine Ausschnitte, sondern vollständige) schicken und ich sehe mir das an.
CONTENIDO Downloads: CONTENIDO 4.10.1
CONTENIDO Links: Dokumentationsportal, FAQ, API-Dokumentation
CONTENIDO @ Github: CONTENIDO 4.10 - Mit einem Entwicklungszweig (develop-branch), das viele Verbesserungen/Optimierungen erhalten hat und auf Stabilität und Kompatibilität mit PHP 8.0 bis 8.2 getrimmt wurde.
Nach oben
Antworten

Zurück zu „Allgemeine Themen“