PHP Intrusion detection system (PHPIDS)

**Grinse** · 28.04.2009 13:25

Moin,
wer die aktuelle Ausgabe der C't (vom 27.4.09) schon gelesen hat, dem ist vermutlich der Beitrag zu PHPIDS (PHP Intrusion Detection System) aufgefallen.
Damit soll es möglich sein, PHP basierte Angriffe auf Webseiten frühzeitig zu Erkennen (etwa XSS-Attacken, SQL-Injections, Remote File In- und Exclusions sowie LDAP Manipulationen).
Das Programm ist unter GNU/GPL lizensiert und downloadbar unter http://www.php-ids.org/.

Um es in Joomla einzubinden kann einfach die index.php Datei in der ersten Zeile um die example.php (des PHPIDS Projektes) ergänzt werden.

Ich werde es mal in den nächsten Tagen versuchen.
Leider gibt es, anders als bei Drupal, noch keine eigenständige PHPIDS Komponente für Joomla, Sodass die Verwaltung "extern" erfolgen muss.
Vieleicht kommt ja Jemand auf die Idee eine entsprechende Komponente zu kreieren um die Überwachung zu erleichtern.

Noch ein Link zum Thema:
http://www.heise.de/security/Erste-Schritte-mit-der-Einbruchserkennung-PHPIDS--/artikel/136032/

**rocx** · 28.04.2009 13:33

Hier noch ein Testbericht und Erläuterungen dazu
Klick

Gruß,
Rocx

**QMLex** · 28.04.2009 19:43

habe heute auch davon gelesen, schaue es mir gleich noch an (falls mir nichts besseres einfällt;-))

Grüße Martin

**SniperSister** · 29.04.2009 07:50

Servus,

ich glaube ich bastel da mal was drauß...

Ich meld mich wenn ich was vorzeigbares habe.

Gruß Snipy

**SniperSister** · 29.04.2009 10:14

Moin Moin,

so, ich habe mal versucht daraus was verwertbares zu basteln:
Das Plugin lässt sich ganz normal als Systemplugin installieren und loggt etwaige Übergriffe in die Datei /logs/easyids.php

Über Rückmeldungen würde ich mich sehr freuen!

Gruß Snipy

EDIT: aktuelle Version hier http://www.joomlaportal.de/sicherhei...tml#post866631

**keraM** · 29.04.2009 12:22

Ist es sinnvoll, eine Überwachungs-/Kontrollsoftware im selben Kontext wie das zu überwachende System laufen zu lassen?

**addi** · 29.04.2009 14:12

Im Grunde wäre es tatsächlich sinnvoller, Attacken auf Serverebene abzufangen. Am besten mit einem gehärteten PHP und einem gehärteten Server wie z.B. bei host europe. Solche IDS blockt z.B. das schnelle hintereinander Absenden von Formular-Variablen nach mehrmaligen Zugriffen oder zu große Post-Variablen, die den Server lahm legen würden schon im Vorfeld.

Wenn aber die Serversicherheitsbedingungen auf einem Server nicht optimal sind, dann ist der Einsatz solcher Scripte auf produktiven Seiten ggf. immer noch besser, als gar nichts zu tun. Und wenn man hat die Zeit hat, macht man täglich Logauswertung. Ein Tool ist meist nur so gut, wie der Benutzer, der es zu nutzen versteht.

Und noch was, was viele anscheinend erst verstehen wenn es mal zu spät ist: Sicherheit kostet Geld. Und daran sparen eben viel Provider mit ihren tollen Server-Schnäppchen.

**QMLex** · 29.04.2009 17:29

soooo, da Sniper ja schon ein plugin gebaut hat, habe ich das mal ausprobiert, funktioniert.
Allerdings habe ich das Problem, dass wenn ich die Dateien Monitor.php oder Report.php öffnen möchte, leider nur eine weiße Seite angezeigt bekomme. Könnte das hiermit etwas zu tun haben?

Über eine Möglichkeit, die Optionsparameter direkt im Plugin anzugeben, würde ich mich freuen.

Grüße Martin

**SniperSister** · 29.04.2009 17:43

Zitat von QMLex

Allerdings habe ich das Problem, dass wenn ich die Dateien Monitor.php oder Report.php öffnen möchte, leider nur eine weiße Seite angezeigt bekomme. Könnte das hiermit etwas zu tun haben?

Warum solltest du das tun wollen? Die Dateien beinhalten nur Klassen, da KANN nichts angezeigt werden.

Zitat von QMLex

Über eine Möglichkeit, die Optionsparameter direkt im Plugin anzugeben, würde ich mich freuen.

Nunja, wirklich sinnvoll wäre da nur die Konfiguration von Ausnahmen und dem Cache - das steht noch auf der ToDo-Liste, war aber für diese alpha nicht relevant. Oder was möchtest du noch konfigurieren?

Gruß Snipy

**QMLex** · 29.04.2009 17:51

Zitat von SniperSister

Warum solltest du das tun wollen? Die Dateien beinhalten nur Klassen, da KANN nichts angezeigt werden.

Wo werden die Angriffe geloggt?

Zitat von SniperSister

Nunja, wirklich sinnvoll wäre da nur die Konfiguration von Ausnahmen und dem Cache - das steht noch auf der ToDo-Liste, war aber für diese alpha nicht relevant. Oder was möchtest du noch konfigurieren?

Gruß Snipy

Die Benachrichtigungsoptionen für den Admin.

Thema: PHP Intrusion detection system (PHPIDS)

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

PHP Intrusion detection system (PHPIDS)

Erhielt Danksagungen von:

Lesezeichen

Lesezeichen

Berechtigungen