LinkBack URL
About LinkBacks
Sicherheitswarnung - Google Code Search
Original: http://dev.joomla.org/component/opti...emid,33/p,198/
October 9th, 2006 by robs
Übersetzung:
Wie uns bekannt wurde hat Google ein neues Produkt in Einsatz, Google Code Search, das in der Lage ist Dateien die sich in den öffentlichen Verzeichnissen des Webservers befinden zu indizieren, und zu scannen. Wir melden dies als einen Sicherheitshinweis weil wir herausfanden, dass einige Seitenbetreiber ihre Dateien / Backups ihrer Website im Wurzelverzeichnis speichern. Daher ist Google Code Search in der Lage diese Dateien zu scannen und nicht geparste (im Quellcode) php Dateien zu lesen als wären sie Text. Dies führte zur Preisgabe einiger sensibler Informationen inclusive des MySQL Passworts und der SMTP Daten.
Wir halten es für nötig einen allgemeinen Hinweis zu veröffentlichen, sowohl um die Seitenbetreiber zu warnen deren Sweiteb bereits gescannt wurden, als auch um unsere User zu schützen und dazu zu bewegen, einige "Best Practices" anzuwenden, um ihre Sites zu schützen.
1. Speichern Sie niemals ein Backup oder archivierte Version Ihrer Website in öffentlich lesbaren Verzeichnissen Ihres Webservers.
2. Lass Sie keine Dateien von denen Sie nicht wollen, dass sie öffentlich gelesen/gesucht/heruntergeladen werden, im Wurzelverzeichnis.
3. Wenn es unbedingt nötig ist, lassen Sie von Ihrem Hoster die Generierung von Verzeichnisindexen deaktivieren.*
4. Schützen Sie Verzeichnisse die sensible Informationen enthalten mit einem Passwort.
Sollten Sie denken das die Logindaten Ihrer Site auf diese Weise kompromitiert wurden, entfernen Sie bitte alle Backups / Dateien die sich im Wurzelverzeichnis befinden, ändern Sie alle im Zusammenhang stehenden Passworte, und falls nötig, bitten Sie Ihren Hosting Anbieter Ihre Site mit Hilfe eines der letzten Backups wiederherzustellen.
Falls sie mehr aktiven Schutz gegen das indizieren und herunterladen von Dateien wünschen, lesen Sie bitte diesen Thread im Joomla! Security Forum, in dem eine Diskussion zum Thema wie Sie Sich gegen diese Art von Problemen schützen können stattfindet.
http://forum.joomla.org/index.php/topic,101880.0.html
* Das Indizieren von Verzeichnissen ist eine Funktion von mod_dir, einem Apache Modul das eine Liste aller Datei in einem Verzeichnis erstellt, sofern keine index.html/php/etc im Verzeichnis zu finden ist. Auf diese Art werden wahrscheinlich die Dateien von der Googlesuche gefunden.
Links:
Google:
http://www.google.com/codesearch
http://www.google.com/codesearch/advanced_code_search
http://www.google.com/help/faq_codesearch.html
NonGoogle...:
http://thinklabs.net/component/optio...temid,4/p,152/
http://www.networkworld.com/news/200...or-google.html
EDIT: ein kleines Update vom developer blog:
# Eric Says:
October 9th, 2006 at 2:15 pm
This isn’t good! I just did a quick search and found passwords galore!!! Time to button things down again.. sheesh..
# Romit Says:
October 9th, 2006 at 4:18 pm
:o :o Just found a boatload of joomla passwords from Code Search ..
# Brian Teeman Says:
October 9th, 2006 at 4:49 pm
I’ve been doing alot of checking on this over the weekend and sadly it is not correct to assume that if you cant get a directory listing your backup wont be archived. I have found the passwords of numerous sites that have the backup archive in directories that do not allow directory listing eg /
----------------
Ich hab' auch einmal ein bisschen gesucht. Die Ergebnisse sind wirklich erschreckend.. Passworte en masse.
An alle Leute die bei 1&1 die praktische Zipfunktion benutzen (wie ich) und den Rest der Welt:
Zipfiles runter vom Server !!!
Zitieren
md5
Zitat von elkuku
Lesezeichen