elkuku

Original: http://dev.joomla.org/component/opti...emid,33/p,198/
October 9th, 2006 by robs
Übersetzung:
Wie uns bekannt wurde hat Google ein neues Produkt in Einsatz, Google Code Search, das in der Lage ist Dateien die sich in den öffentlichen Verzeichnissen des Webservers befinden zu indizieren, und zu scannen. Wir melden dies als einen Sicherheitshinweis weil wir herausfanden, dass einige Seitenbetreiber ihre Dateien / Backups ihrer Website im Wurzelverzeichnis speichern. Daher ist Google Code Search in der Lage diese Dateien zu scannen und nicht geparste (im Quellcode) php Dateien zu lesen als wären sie Text. Dies führte zur Preisgabe einiger sensibler Informationen inclusive des MySQL Passworts und der SMTP Daten.

Wir halten es für nötig einen allgemeinen Hinweis zu veröffentlichen, sowohl um die Seitenbetreiber zu warnen deren Sweiteb bereits gescannt wurden, als auch um unsere User zu schützen und dazu zu bewegen, einige "Best Practices" anzuwenden, um ihre Sites zu schützen.

1. Speichern Sie niemals ein Backup oder archivierte Version Ihrer Website in öffentlich lesbaren Verzeichnissen Ihres Webservers.
2. Lass Sie keine Dateien von denen Sie nicht wollen, dass sie öffentlich gelesen/gesucht/heruntergeladen werden, im Wurzelverzeichnis.
3. Wenn es unbedingt nötig ist, lassen Sie von Ihrem Hoster die Generierung von Verzeichnisindexen deaktivieren.*
4. Schützen Sie Verzeichnisse die sensible Informationen enthalten mit einem Passwort.

Sollten Sie denken das die Logindaten Ihrer Site auf diese Weise kompromitiert wurden, entfernen Sie bitte alle Backups / Dateien die sich im Wurzelverzeichnis befinden, ändern Sie alle im Zusammenhang stehenden Passworte, und falls nötig, bitten Sie Ihren Hosting Anbieter Ihre Site mit Hilfe eines der letzten Backups wiederherzustellen.

Falls sie mehr aktiven Schutz gegen das indizieren und herunterladen von Dateien wünschen, lesen Sie bitte diesen Thread im Joomla! Security Forum, in dem eine Diskussion zum Thema wie Sie Sich gegen diese Art von Problemen schützen können stattfindet.
http://forum.joomla.org/index.php/topic,101880.0.html

* Das Indizieren von Verzeichnissen ist eine Funktion von mod_dir, einem Apache Modul das eine Liste aller Datei in einem Verzeichnis erstellt, sofern keine index.html/php/etc im Verzeichnis zu finden ist. Auf diese Art werden wahrscheinlich die Dateien von der Googlesuche gefunden.

Links:
Google:
http://www.google.com/codesearch
http://www.google.com/codesearch/advanced_code_search
http://www.google.com/help/faq_codesearch.html
NonGoogle...:
http://thinklabs.net/component/optio...temid,4/p,152/
http://www.networkworld.com/news/200...or-google.html
EDIT: ein kleines Update vom developer blog:
# Eric Says:
October 9th, 2006 at 2:15 pm
This isn’t good! I just did a quick search and found passwords galore!!! Time to button things down again.. sheesh..
# Romit Says:
October 9th, 2006 at 4:18 pm
:o :o Just found a boatload of joomla passwords from Code Search ..
# Brian Teeman Says:
October 9th, 2006 at 4:49 pm
I’ve been doing alot of checking on this over the weekend and sadly it is not correct to assume that if you cant get a directory listing your backup wont be archived. I have found the passwords of numerous sites that have the backup archive in directories that do not allow directory listing eg /
----------------
Ich hab' auch einmal ein bisschen gesucht. Die Ergebnisse sind wirklich erschreckend.. Passworte en masse.
An alle Leute die bei 1&1 die praktische Zipfunktion benutzen (wie ich) und den Rest der Welt:
Zipfiles runter vom Server !!!

__________________
Gruß,
Nikolai Easy-Joomla.org Hilf mit Deutsche Joomla! Dokumentation Help testing EasyCreator

erasmus00

nur fuer mein grundsaetzliches verstaendnis (joomla newby) du meinst den md5 hash, oder ?

__________________
Version 1.5.11, auch sonst alles Standard
__________________________________________________ ___
gruesse aus muenchen

holmi

Wenn Google tatsächlch php Dateien nicht geparste lesen kann wüde das heissen das auch das DB Passwort in der configuration.php zu lesen ist.

Also ACHTUNG, das ist echt ernst, ZIP Dateien sofort löschen!

Björn

__________________
Problem gelöst? Dann markiere den Thread mit [GELÖST]

pala999

Hallo,

es ist zu lesen, habe soeben mehrere backups runtergeladen.
Dazu ein MD5 Passwort Cracker und Du bist Webmaster ...

langsch2

Ich verstehen das aber richtig: Es geht nur um backups, nicht um die originale configuration.php?

__________________
******************** http://www.langschnet.de*********************
*Netzwerktechnik*Managed Hosting-V-Server-Server* Nur Firmen!
********************http://www.niekao.de*********************

holmi

Ich war so nett und habe den Admins wo ich was gefunden habe mal den Google Link zu Ihrem Passwort und den Blogeintrag zugesendet.

Soweit ich das bis jetzt verstanden habe ja.
Ich habe das aber keine Ahnung von.


Björn

__________________
Problem gelöst? Dann markiere den Thread mit [GELÖST]

elkuku

@holmi
Gute Initiative. Ich habe auch schon ein paar angeschrieben.

@lansch2
Unterscheidet sich die configuration.php deines Backups wesentlich von der originalen ??

Nochmal zum Verständnis: Es geht hier wohl um ALLE Passworte (J!Admin, MySQL, SMTP), einschliesslich ALLER Daten, die ihr vielleicht auch im Admin/backups habt (SQL).

Und noch 'was: da bisher wohl immer noch nicht ganz sicher ist, wie das Teil funktioniert (man geht von der Apache Funktion mod_dir aus), würde ich mich auch nicht unbedingt mehr auf die htpasswd verlassen...

__________________
Gruß,
Nikolai Easy-Joomla.org Hilf mit Deutsche Joomla! Dokumentation Help testing EasyCreator

langsch2

Ich habe auf den Servern keine Backups liegen. Es ging mir darum, ob Google in der Lage ist die original configuration.php ungeparst zum Download anzubieten. Falls *das* so sein sollte, könnte man sämtliche PHP-Projekte einstampfen....

__________________
******************** http://www.langschnet.de*********************
*Netzwerktechnik*Managed Hosting-V-Server-Server* Nur Firmen!
********************http://www.niekao.de*********************

Devil

HI,

hört sich ja mal jut ^^ an... Des kanns nicht sein was google da macht...

Kann man den Googlebot nicht aussen vorlassen per htacess?

__________________
mfg Markus
[JuMaSi] [Joomla Aktuell] - [Joomla Aktuell on Twitter] Joomla News
Support per Chat? [Support Chat], keine Anmeldung oder Registrierung erforderlich.

DietmarH

Das kann ich mir nicht vorstellen. Ein korrekt konfigurierter Apache liefert keine ungeparste *.php aus. Das kann eigentlich nur auf einem Server mit falsch konfigurierter DirectoryIndex-Directive oder ohne PHP passieren.

Aber natürlich liefert der Apache auf Anforderung jede andere Datei entsprechend ihrem MIME-Typ aus, ein *.zip also ganz einfach als gepacktes Archiv, solange keine Direktive es verbietet. Und ein Archiv kann völlig ungeschützt entpackt und angesehen werden.

Ich vermute eher, daß Google über das Modul mod_autoindex an die Dateinamen kommt.

Auf jeden Fall begibt sich Google mit dem Veröffentlichen solcher nicht zur Veröffentlichung gedachten Dateien auf allerdünnstes Eis. Ich denke, es wird in den nächsten Wochen weltweit Klagen und einstweilige Verfügungen dagegen hageln.

__________________
Dietmar
http://www.joomla-supportchat.de | http://joompjirc.joomla-supportchat.de
http://wiki.joomla-nafu.de | http://www.joomla-geruechte.de