Sicherheitsproblem ???

**pmac** · 23.11.2010 12:29

Hallo, als nicht-Experte habe ich vor einigen Monaten eine Website für einen Freund gestaltet und mit Joomla implementiert.
Jetzt hat er unten stehende merkwürdige eMail erhalten.
Meine Frage ist jetzt: liegt wirklich ein Sicherheitsproblem vor? Und Wenn ja, was kann ich tun ??

Danke
pmac

---Zitat Anfang
Hallo!

Ich habe ich mich kurz mit Ihrer Webseite auseinandergesetzt und mir sind kleinere Dinge aufgefallen. Eventuell haben Sie ja Interesse den Auftritt etwas sicherer zu gestalten oder ggf. zu optimieren. Ihre Medienagentur wollte ich deswegen nicht direkt anschreiben, da dies etwas unangenehm wäre.

Hinweise:
Der Contentgenerator lässt sich direkt über die Metadaten der Seite einsehen und per Script auslesen. Generell ist dies ungünstig, da über die „Form“ Module unter „Kontakt“ z.B. Code in die Seite abgesetzt werden kann und somit alle auf dem Server befindlichen Instanzen (Websites) einer Attacke zum Opfer fallen. Der Eintrag hierfür kann aus einer Header Datei direkt im Systemverzeichnis genommen werden.
Eine Kaschierung des „generator Tag“ erschwert die Identifikation für den Angreifer doch um einiges.

hier:screenshot

Der Adminbereich ist frei zugänglich.
Diese Seite sollten Sie durch eine .htaccess Datei im Root des Adminbereichs schützen um evtl. Angriffe durch Bots oder Crawlerabfragen zu unterbinden.

hier: screenshot vom Admin-login-Scrren

Das SSL Zertifikat des Server ist nicht korrekt eingebunden und verursacht im Apache bzw. Webserver unnötige Serverlast. Dies kann zu einem Absturz des Gesamtsystems oder unnötigen Session führen, die den Server auslasten:

hier screenshot einer zurückgewiesenen ssl-Verbindung

--- Zitatende

**Rooney** · 23.11.2010 12:51

Das mit dem Generator stimmt so nicht. Scripte finden auch so raus, dass Joomla läuft. Den Admin-bereich solltest Du auf jeden Fall wie beschrieben sichern. Zum SSL kann ich nichts sagen, da ich Deine Seite nicht kenne.

Rooney

**pmac** · 23.11.2010 12:55

Hallo Roony,
die Seite wird bei all-inkl gehostet. Muss ich im Joomla irgendetwas mit SSL machen oder ist dafür nur der Hoster zuständig ?

Danke
pmac

**GN2 netwerk** · 23.11.2010 13:16

Da muss aber jemand einen leeren Kühlschrank haben, wenn er mit solchen Pseudoargumenten versucht an Jobs zu kommen (abgesehen vom ekligen Stil der Aquise)

**pmac** · 23.11.2010 13:20

ja, das scheint mir auch so, bin aber nicht so fit in joomla und wollte lieber mal nachfragen. Apropos, wie kann ich das generator-tag ändern ?
danke
Pmac

**Joomla-Hilfe** · 23.11.2010 13:22

Der Typ soll nicht dumm rumschwurbeln, sondern als Beweis für seine Behauptungen dein Joomla hacken. Wenn er das nicht kann, verbreitet er nur Heißluft, um völlig ungerechtfertigt an anderer Leute Geld zu kommen. Wetten, daß sofort danach Ruhe ist?

Das ist genau derselbe Rotz wie die SEO-Fritzen, die eine Seite für 200€/Monat in einem Jahr in den Suchmaschinen dahin bringen, wo sie dann mit ganz normaler sinnvoller Inhaltspflege sowieso ist.

**keraM** · 23.11.2010 13:53

OT:

Zitat von Joomla-Hilfe

Das ist genau derselbe Rotz wie die SEO-Fritzen, die eine Seite für 200€/Monat in einem Jahr in den Suchmaschinen dahin bringen, wo sie dann mit ganz normaler sinnvoller Inhaltspflege sowieso ist.

Solange diese SEO-Fritzen Kunden finden, die das bezahlen, ist die Welt doch in Ordnung.

Erzähle den Kunden einfach, daß Du diese Leistung für 100 oder 150 Euro anbietest. Wäre doch leicht verdientes Geld, oder nicht?

**Joomla-Hilfe** · 23.11.2010 13:56

Zitat von keraM

Erzähle den Kunden einfach, daß Du diese Leistung für 100 oder 150 Euro anbietest. Wäre doch leicht verdientes Geld, oder nicht?

Ich habe wohl zu viele Skrupel beim Besch***en von Kunden...

**Rooney** · 23.11.2010 15:14

Zitat von GN2 netwerk

Da muss aber jemand einen leeren Kühlschrank haben, wenn er mit solchen Pseudoargumenten versucht an Jobs zu kommen (abgesehen vom ekligen Stil der Aquise)

Hast ja Recht. Den Admin-Bereich sollte man trotzdem schützen...

Rooney

**keraM** · 23.11.2010 16:33

Zitat von pmac

Apropos, wie kann ich das generator-tag ändern

Mit einem Core-Hack oder einem Template Overide.
Das ist aber imho kompletter Blödsinn. Websites, welche auf Joomla basieren, werden meist über unsichere Erweiterungen gehackt. Die findet man z.B. bei Google durch Verwendung des Parameters inurl. Mit inurl:com_ckforms findet man Websites, welche die Komponente CKForms installiert haben und kann über bekannte Sicherheitslücken in dieser Komponente die Website hacken.
Auch wenn man einen veralteten Joomlacore hacken will, sucht man nicht nach dem Generatortag, sondern nach anderen Merkmalen, eben weil man diesem Tag, sofern er überhaupt vorhanden ist, nicht trauen kann.

Wenn Du etwas für die Sicherheit Deiner Site tun willst, dann lies Dir mal diese Seite durch: https://www.fc-hosting.de/joomla/tip...sicherheit.php
Das bringt mehr, als diese Pseudosicherheitstips a la Security by Obscurity.

Thema: Sicherheitsproblem ???

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

Sicherheitsproblem ???

Erhielt Danksagungen von:

Erhielt Danksagungen von:

Lesezeichen

Lesezeichen

Berechtigungen