SimplePie in Newsfeed Sicherheitslück?
Hi @ all,
heute morgen hat mir mein Provider meine Seite gesperrt. Begründung es wurde ein DoS Angriff auf meine Seite ausgeübt.
Die Lücke soll im SimplePie hängen das mit newsfeeds zusammen arbeitet.
Ich habe die aktuelle Joomlaversion Joomla_1.5.14-Stable-Full_Package_German von www.joomla.de installiert. Das einzige was ich zusätzlich installiert habe war CB.
Ist das eine bekannte Sicherheitslücke? Wenn ja gibt es dafür einen fix?
Gruss Michael
Da Du uns die Version von SimplePie nicht mitteilst, verweise ich mal pauschal auf http://simplepie.org/blog/.
Ebenso wäre es konsequent, wenn Du den Hoster um weitere Informationen (Logs etc.) zur Lücke bittest.
Ich hab das Simplepie ja gar ned selber installiert. Das muss mit joomla installiert worden sein. Wie kann ich die version rausfinden?Zitat von keraM
Das hab ich vom Provider gerade erhalten:
80.82.215.11 - - [25/Aug/2009:14:23:16 +0200] "GET /index.php?view=category&id=4%3Ajoomla&option=com_n ewsfeeds&Itemid=49 HTTP/1.1" 200 9703 "http://pa.moevy.net/index.php?view=category&id=4%3Ajoomla&option=com_n ewsfeeds&Itemid=49" "SimplePie/1.0.1 (Feed Parser; http://simplepie.org/; Allow like Gecko) Build/20070719221955"
Sagt mir leider nicht wo ich das simplepie finde... schaue ich unter componenten im ordner com_newsfeed nach find ich nichts mit simplepie.
Hab das Joomla vor 4-5 Tagen erst installiert. Es befinden sich im Newsfeed nur Beispieldaten von Joomla..... ist schon bischen merkwürdig....
Beim Original Joomla ist definitiv kein SimplePie mit dabei. Guck mal unter /components und /administrator/components, ob es dort eine com_simplepie gibt.
Edit:
Der Auszug aus dem Log sagt doch eindeutig, dass SimplePie nicht auf Deiner Domain liegt, sondern auf pa.moevy.net.
Außerdem hat ein DoS-Angriff nichts mit einer Sicherheitslücke zu tun, sondern ist einfach eine Überlastung des Systems durch eine größere Anzahl von Anfrage, als dieses bearbeiten kann. http://de.wikipedia.org/wiki/Denial_of_Service
Für mich als Laien gibt es zwei Lösungsmöglichkeiten: a) abschalten des Angriffsziels um den Angriff ins Leere laufen zu lassen, oder b) blocken der IP, von der diese Angriffe ausgehen (was aber meist sinnlos ist, da die Angriffe über tausend verschiedene IPs verteilt werden).
http://api.joomla.org/classtrees_SimplePie.htmlBeim Original Joomla ist definitiv kein SimplePie mit dabei.
Der Ordner liegt in /libraries
Jep genau da liegt es...
Da es eh eine Testseite war hab ich nun alles gelöscht (dateien und db tabellen). Jetzt will ich natürlich nochmal joomla 1.5.14 installieren.
Wie kann ich jetzt verhindern das dies nochmal passiert? Denn wenn es nochmal passiert droht mir mein provider an das es eine "kostenpflichtige Sperrung" gibt.
Gruss Michael
Berechtigungen
LinkBack URL
About LinkBacks
Zitieren
Lesezeichen