safe_mode=off, keine Beschränkung der PHP-Befehle (disabled_functions), Apache-Hander... Die gesamte PHP-Sicherheit wird scheinbar versicht mit open_basedir zu realisieren. Das ist aber anderen Binaries vollkommen egal.
Fazit: Auf dem Server kann ein Angreifer machen was er will. Er muss nur einmal ein Script plaziert haben.
Gruß! Uwe
fc-hosting.de
. . . . . . . . . . . .kleine Joomla-Helferlein :: Gehackt? Was tun? :: Migration 1.7->2.5
Ich hab ja nun überhaupt keine Ahnung von diesen Dingen, habe aber gelesen, daß diese Einstellungen nicht ganz ungefährlich sind.Zitat von Flatron
So hat bspw. mein Hoster allow_url_fopen auf Off, disable_funktions passthru, system, proc_open, proc_nice, shell_exec, escapeshellcmd, etc. und safe_mode auf On.
Eine Frage: Ist das Dein eigener Server, oder gemieteter Webspace bei einem Hoster?
...gemieteter Webspace bei United Hoster.
87.181.10.233 - - [19/Sep/2008:14:26:08 +0200] "GET /index.php?option=cookiecheck&return=http%3A%2F%2F* **.de%2Findex.php HTTP/1.1" 301 - "http://www.***.de/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
Bedeutet das, dass er sich eingeloggt hat?
Dann müsste es sich nämlich um einen regsitrierten User handeln...
Gibt es eigentlich eine Möglichkeit im User-Manager neben dem Zeitpunkt des letzten Besuchs auch die bei diesem Besuch verwendete IP anzeigen zu lassen? Ich hab bereits im Forum nachgeschaut, hab aber nur Plugins für den Community Builder gefunden...
http://de.wikipedia.org/wiki/HTTP-Statuscodes
Das war mir auch klar...
Nun weiß ich aber immernoch nicht, woran ich im Logifle erkennen kann, dass sich jemand in joomla einloggt/ausloggt...
Ist zwar nun schon etwas älter, aber die Art wie man sich hier versuchte Zugriff zu verschaffen kommt mir sehr bekannt vor.
Sicher hast oder hattest Du die Dateiberechtigungen so gesetzt, dass der Webserver und FTP-User Schreibzugriff auf alle Dateien hat.
damit lässt sich dann - auch ohne direkten FTP-Zugriff - schon einiges machen.
Bei Joomlainstallationen sollten daher die Rechte für index.php, index2.php, und global.php auf für alle ReadOnly gesetzt sein!
Die configuration.php ebenso, nur sollte "World" bzw. "Other", hier drauf keinerlei Zugriff, auch nicht lesend haben.
Bitte deinen Hoster dir einen Zugriffsschutz mit Passwort, über die httpd.include, auf den Adminordner von Joomla einzurichten, der billige Weg, in dem man die htusers und htpasswd im zu schützenden Order ablegt, ist schnell ausgehebelt, wenn man mit den Rechten des Webservers darauf schreibend zugreifen kann.
Beispiel:
Füge in die hoffentlich vorhandene .htaccess an passender Stelle noch ein:<Directory "/path/vhosts/meinweb.tld/httpdocs/administrator">
AuthType Basic
AuthName "Benutzername und Passwort bitte:"
AuthUserFile /path/vhosts/meinweb.tld/passwordner/d..httpdocs@administrator
require valid-user
</Directory
und setze nachfolgend auch die Rechte für diese Datei auf Nur Lesen für alle.RewriteCond %{QUERY_STRING} http\: [OR]
RewriteCond %{QUERY_STRING} http\%3A\%2F\%2F [OR]
RewriteCond %{QUERY_STRING} ftp\: [OR]
RewriteCond %{QUERY_STRING} https\: [OR]
RewriteCond %{QUERY_STRING} \[ [OR]
RewriteCond %{QUERY_STRING} \] [OR]
So und mit ein paar weiteren Feinheiten schützte ich bisher erfolgreich ein Joomla 1.0.12 für einen Kunden gegen alle Angriffe, das (warum auch immer) nicht upgedatet werden kann/darf.
Grüße, Webmin
Berechtigungen
LinkBack URL
About LinkBacks
Zitieren
Lesezeichen