mod_track - File Injection Detection
- MarkusR
- Handbuchversteher
- Beiträge: 7362
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 111 Mal
- Danksagung erhalten: 934 Mal
- Kontaktdaten:
mod_track - File Injection Detection
Nach den jüngsten Angriffen auf Webauftritte, bei denen Dateien manipuliet wurden, habe ich ein kleines Modul zur Überprüfung der Dateien geschrieben.
Wichtig: Das Modul sollte installiert werden, wenn noch alles in Ordnung ist! Es hilft lediglich Angriffe (oder auch die normalen Arbeiten auf der Webseite) zu erkennen und automatisch darauf aufmerksam gemacht zu werden.
Was macht das Modul?
Es protokolliert für alle Dateien des Webauftritts eine Prüfsumme, das Änderungsdatum sowie die Dateirechte.
Nun kann manuell oder in einstellbaren Intervallen der aktuelle Stand mit diesem Protokoll verglichen werden. Veränderungen werden automatisch per Mail gemeldet.
Dabei können auch einige Dateitypen oder Verzeichnisse ausgeschlossen werden, um nicht jede Logfileänderung gemeldet zu bekommen.
Das Modul muß nur installiert und aktiviert werden.
Dann sollten die gewünschten Einstellungen gemacht werden und mittels "Update database" ein Protokoll erstellt werden.
Das war's.
Das Modul befindet sich in einem frühen Beta-Stadium, daher (wie immer) vorher ein Backup der Datenbank und(!) der Daten anlegen!
Wichtig: Das Modul sollte installiert werden, wenn noch alles in Ordnung ist! Es hilft lediglich Angriffe (oder auch die normalen Arbeiten auf der Webseite) zu erkennen und automatisch darauf aufmerksam gemacht zu werden.
Was macht das Modul?
Es protokolliert für alle Dateien des Webauftritts eine Prüfsumme, das Änderungsdatum sowie die Dateirechte.
Nun kann manuell oder in einstellbaren Intervallen der aktuelle Stand mit diesem Protokoll verglichen werden. Veränderungen werden automatisch per Mail gemeldet.
Dabei können auch einige Dateitypen oder Verzeichnisse ausgeschlossen werden, um nicht jede Logfileänderung gemeldet zu bekommen.
Das Modul muß nur installiert und aktiviert werden.
Dann sollten die gewünschten Einstellungen gemacht werden und mittels "Update database" ein Protokoll erstellt werden.
Das war's.
Das Modul befindet sich in einem frühen Beta-Stadium, daher (wie immer) vorher ein Backup der Datenbank und(!) der Daten anlegen!
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
- MarkusR
- Handbuchversteher
- Beiträge: 7362
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 111 Mal
- Danksagung erhalten: 934 Mal
- Kontaktdaten:
Und hier das Modul als Beta 1
Feedback erwünscht!
Und für noch mehr Sicherheit gibt es ja gegen SQL-Injections den ctracker:
http://community.conpresso.de/viewtopic.php?t=3160
Sollte eigentlich in JEDEM ConPresso mitlaufen!
Feedback erwünscht!
Und für noch mehr Sicherheit gibt es ja gegen SQL-Injections den ctracker:
http://community.conpresso.de/viewtopic.php?t=3160
Sollte eigentlich in JEDEM ConPresso mitlaufen!
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
- balu
- ConPresso-Entwickler
- Beiträge: 1748
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 81 Mal
- Danksagung erhalten: 133 Mal
Hi Markus,
Du könntest noch die Liste der eigentlichen ConPresso-Files (wie beim Setup) anhand der md5-Keys in _include/md5_files.inc.php prüfen und ausgeben, ob die sich vom Original unterscheiden.
Dann kann man z.B. sehen, ob bei einem Update Dateien vergessen wurden oder vor dem Update sicherstellen, dass selbst modifizierte Dateien nicht überschrieben werden.
Balu
Du könntest noch die Liste der eigentlichen ConPresso-Files (wie beim Setup) anhand der md5-Keys in _include/md5_files.inc.php prüfen und ausgeben, ob die sich vom Original unterscheiden.
Dann kann man z.B. sehen, ob bei einem Update Dateien vergessen wurden oder vor dem Update sicherstellen, dass selbst modifizierte Dateien nicht überschrieben werden.
Balu
Bartels.Schöne
ConPresso Support & Development
ConPresso Support & Development
- Mr. Magpie
- ConPresso-Profi
- Beiträge: 1004
- Registriert: 01.01.1970 01:00
- Wohnort: Wuppertal
- Hat sich bedankt: 274 Mal
- Danksagung erhalten: 59 Mal
Die md5-Keys-Überprüfung habe ich bei meinen Projekten irgendwann komplett deaktiviert - bei so vielen inzwischen aufgelaufenen Bugfixes etc. nervt diese mehr als dass sie nutzt.
Apropos Bugfixes, Balu, wie sieht es denn mit der CPO-Entwicklung aus? Ich muss schon reihenweise meine Kunden besänftigen, weil sie glauben, CPO sei inzwischen tot, ohne dass ich Argumente habe, um ihnen zu widersprechen. Bald glaub' ich's schon selbst...
Apropos Bugfixes, Balu, wie sieht es denn mit der CPO-Entwicklung aus? Ich muss schon reihenweise meine Kunden besänftigen, weil sie glauben, CPO sei inzwischen tot, ohne dass ich Argumente habe, um ihnen zu widersprechen. Bald glaub' ich's schon selbst...
Günther Ludwig
- balu
- ConPresso-Entwickler
- Beiträge: 1748
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 81 Mal
- Danksagung erhalten: 133 Mal
Hi Magpie,
wir haben morgen eine Sitzung mit den betroffenen Personen, Entwicklern, usw. um unser weiteres Vorgehen im Bezug auf die Veröffentlichung einer 4.0.8 oder / und einer 4.1.0 (evtl. als beta) zu besprechen.
Danach kann ich Dir dann mehr sagen.
Balu
MD5-Prüfung nervt? Eigentlich wird sie doch nur bei der Installation benutzt bisher?
wir haben morgen eine Sitzung mit den betroffenen Personen, Entwicklern, usw. um unser weiteres Vorgehen im Bezug auf die Veröffentlichung einer 4.0.8 oder / und einer 4.1.0 (evtl. als beta) zu besprechen.
Danach kann ich Dir dann mehr sagen.
Balu
MD5-Prüfung nervt? Eigentlich wird sie doch nur bei der Installation benutzt bisher?
Bartels.Schöne
ConPresso Support & Development
ConPresso Support & Development
- MarkusR
- Handbuchversteher
- Beiträge: 7362
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 111 Mal
- Danksagung erhalten: 934 Mal
- Kontaktdaten:
Dann muß man aber ein Original ConPresso installieren.balu hat geschrieben:MD5-Prüfung nervt? Eigentlich wird sie doch nur bei der Installation benutzt bisher?
Nicht mal die fehlerhafte member.php kann man austauschen und fängt somit immer wieder bei Null an...
Wer also ein "gepimptes" ConPresso installieren möchte, der schaltet die MD5-Prüfung ab (weiß aber meist schon vorher ob der FTP-Client was taugt oder nicht...)
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
- balu
- ConPresso-Entwickler
- Beiträge: 1748
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 81 Mal
- Danksagung erhalten: 133 Mal
Hi Magpie,
zu der Weiterentwicklung von ConPresso: wir stecken hier ein wenig zwischen den Welten.
Wir haben uns zwischendurch einige Zeit an anderen Projekten (unter anderem auf Basis von ConPresso) gearbeitet. Diese teils größeren Projekte haben uns sehr stark beschäftigt. Aber sie haben uns auch den Kopf etwas frei gemacht, um über die Weiterentwicklung von ConPresso an sich nachdenken zu können.
Wir haben seit ein paar Wochen einen Release für eine 4.0.8 im Kopf, die verschiedene Kleinigkeiten ergänzt und Bugs fixt.
Für diese Version haben wir auch das Handbuch für einen Haufen Geld auf englisch übersetzen lassen, aber wie Du Dir bei der Größe des Handbuchs vorstellen kannst, ist einiges mehr an Arbeit nötig: Screenshots einfügen, Links prüfen, ...
Auf der anderen Schiene haben wir eine 4.1 auf der Entwicklungsstraße, die innerhalb von ConPresso pflegbare Seitentemplates bringen wird. Das bedeutet, es sind keine Header- oder Footer-Dateien mehr nötig (aber natürlich möglich, auch rückwärtskompatibel). Ausserdem werden die Platzhalter in den Templates flexibler.
Hier hängen wir ein wenig, weil wir nicht wissen, ob die Funktionalität diesbezüglich schon ausreicht, ob wir vielleicht doch etwas anders machen müssten, usw. Aus diesem Grund, wird es hier erst eine Beta-Version zum Testen geben.
Im großen und ganzen hakt es im Moment bei den "unangenehmen" Feinheiten, die einfach nur Zeit kosten.
Ich werde aber versuchen in den nächsten Tagen zumindest erstmal die 4.0.8 auf den Weg zu bringen.
Anschließend können wir uns ja einfach mal zusammen die 4.1 anschauen
Balu
zu der Weiterentwicklung von ConPresso: wir stecken hier ein wenig zwischen den Welten.
Wir haben uns zwischendurch einige Zeit an anderen Projekten (unter anderem auf Basis von ConPresso) gearbeitet. Diese teils größeren Projekte haben uns sehr stark beschäftigt. Aber sie haben uns auch den Kopf etwas frei gemacht, um über die Weiterentwicklung von ConPresso an sich nachdenken zu können.
Wir haben seit ein paar Wochen einen Release für eine 4.0.8 im Kopf, die verschiedene Kleinigkeiten ergänzt und Bugs fixt.
Für diese Version haben wir auch das Handbuch für einen Haufen Geld auf englisch übersetzen lassen, aber wie Du Dir bei der Größe des Handbuchs vorstellen kannst, ist einiges mehr an Arbeit nötig: Screenshots einfügen, Links prüfen, ...
Auf der anderen Schiene haben wir eine 4.1 auf der Entwicklungsstraße, die innerhalb von ConPresso pflegbare Seitentemplates bringen wird. Das bedeutet, es sind keine Header- oder Footer-Dateien mehr nötig (aber natürlich möglich, auch rückwärtskompatibel). Ausserdem werden die Platzhalter in den Templates flexibler.
Hier hängen wir ein wenig, weil wir nicht wissen, ob die Funktionalität diesbezüglich schon ausreicht, ob wir vielleicht doch etwas anders machen müssten, usw. Aus diesem Grund, wird es hier erst eine Beta-Version zum Testen geben.
Im großen und ganzen hakt es im Moment bei den "unangenehmen" Feinheiten, die einfach nur Zeit kosten.
Ich werde aber versuchen in den nächsten Tagen zumindest erstmal die 4.0.8 auf den Weg zu bringen.
Anschließend können wir uns ja einfach mal zusammen die 4.1 anschauen
Balu
Bartels.Schöne
ConPresso Support & Development
ConPresso Support & Development
- MarkusR
- Handbuchversteher
- Beiträge: 7362
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 111 Mal
- Danksagung erhalten: 934 Mal
- Kontaktdaten:
Diese Prüfung hast Du ja freundlicherweise im Update-Script durchgespielt.balu hat geschrieben:Hi Markus,
Du könntest noch die Liste der eigentlichen ConPresso-Files (wie beim Setup) anhand der md5-Keys in _include/md5_files.inc.php prüfen und ausgeben, ob die sich vom Original unterscheiden.
Dann kann man z.B. sehen, ob bei einem Update Dateien vergessen wurden oder vor dem Update sicherstellen, dass selbst modifizierte Dateien nicht überschrieben werden.
Balu
Ich habe mir erlaubt diese noch safe_mode- und open_basedir-fest zu machen und als dritte Option ins Modul einzubauen.
Neben dem Injection-Check (also ungewollte Änderungen) und den zugehörigen Einstellungen (um z.B. _data oder bstimmte Dateitypen auszuschließen) gibt es nun noch einen Upgrade-Check, der prüft, inwiefern sich Dateien vom urspünglichen Original anhand der md5-Prüfsummen unterscheiden.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
- MarkusR
- Handbuchversteher
- Beiträge: 7362
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 111 Mal
- Danksagung erhalten: 934 Mal
- Kontaktdaten:
Hier eine neue Version 4.1.
Angepasst für PHP 5.4.
Neu: Angabe von einer maximalen Größe, um Scans sehr großer Dateien zu verhindern (Scriptabbrüche wegen Serverbeschränkungen).
Angepasst für PHP 5.4.
Neu: Angabe von einer maximalen Größe, um Scans sehr großer Dateien zu verhindern (Scriptabbrüche wegen Serverbeschränkungen).
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
- Marky
- ConPresso-Checker
- Beiträge: 382
- Registriert: 11.12.2005 15:29
- Hat sich bedankt: 29 Mal
- Danksagung erhalten: 18 Mal
- Kontaktdaten:
Fehlermeldungen beim Check
Hallo Markus,
ich habe das Teil mal installiert. Mir fällt jetzt auf (Testsystem), dass die beiden Dateien, bei jedem Update Database als NEW angezeigt werden und dann noch doppelt
Hast Du eine Idee, woran das liegen kann?
cpo4.09/mod_track4.1
ich habe das Teil mal installiert. Mir fällt jetzt auf (Testsystem), dass die beiden Dateien, bei jedem Update Database als NEW angezeigt werden und dann noch doppelt
Hast Du eine Idee, woran das liegen kann?
cpo4.09/mod_track4.1
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Gruß
Marky
Marky
- MarkusR
- Handbuchversteher
- Beiträge: 7362
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 111 Mal
- Danksagung erhalten: 934 Mal
- Kontaktdaten:
Diese beiden Dateien gehören gar nicht zu 4.0.9, weil sie seit 4.0.9 KLEIN geschrieben werden.
Da mit den Dateinamen als Key ein Array gefüllt wird könnte das doppelte Vorhandensein der Dateien (nach einem Upgrade?) zu diesem Fehler führen. Wenn es sie doppelt auf dem Server gibt dann lösche die mit Großschreibung!
Habe es anschließend mal selbst getestet und die alten Dateien aus 4.0.8 in eine 4.1.6 kopiert und erhalte das gleiche Ergebnis. Nur waren bei mir kleingeschriebenen zuerst da...
Da mit den Dateinamen als Key ein Array gefüllt wird könnte das doppelte Vorhandensein der Dateien (nach einem Upgrade?) zu diesem Fehler führen. Wenn es sie doppelt auf dem Server gibt dann lösche die mit Großschreibung!
Habe es anschließend mal selbst getestet und die alten Dateien aus 4.0.8 in eine 4.1.6 kopiert und erhalte das gleiche Ergebnis. Nur waren bei mir kleingeschriebenen zuerst da...
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
- MarkusR
- Handbuchversteher
- Beiträge: 7362
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 111 Mal
- Danksagung erhalten: 934 Mal
- Kontaktdaten:
Neue Version 4.2 !
- deutsche Übersetzung
- kleinere optische Anpassungen
- Absenderadresse einstellbar
- Ausgabe von Meldungen nur beim manuellen Check
Für Updatewillige:
- Dateien auf den Server kopieren
- Absenderadresse eintragen
- max. Dateigröße (1000000 oder gewünschter Wert) eintragen, falls Update von 4.0
- deutsche Übersetzung
- kleinere optische Anpassungen
- Absenderadresse einstellbar
- Ausgabe von Meldungen nur beim manuellen Check
Für Updatewillige:
- Dateien auf den Server kopieren
- Absenderadresse eintragen
- max. Dateigröße (1000000 oder gewünschter Wert) eintragen, falls Update von 4.0
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
- MarkusR
- Handbuchversteher
- Beiträge: 7362
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 111 Mal
- Danksagung erhalten: 934 Mal
- Kontaktdaten:
Neue Version 4.4
kompatibel mit PHP 7.2
neu: im zugesendeten Info-Mail gibt es jetzt einen hash-gesicherten Link, mit dem man die Änderungen akzeptieren und die Datenbank aktualisieren kann.
(mir ist es einfach zu oft passiert, dass ich noch schnell was an einer HP geändert habe und dann unterwegs permanent die Warnmails erhielt)
Eine 4.2 kann einfach überschrieben werden.
kompatibel mit PHP 7.2
neu: im zugesendeten Info-Mail gibt es jetzt einen hash-gesicherten Link, mit dem man die Änderungen akzeptieren und die Datenbank aktualisieren kann.
(mir ist es einfach zu oft passiert, dass ich noch schnell was an einer HP geändert habe und dann unterwegs permanent die Warnmails erhielt)
Eine 4.2 kann einfach überschrieben werden.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle