ConPresso Community

Fragen, Antworten, Diskussionen rund um das Content Management System ConPresso

 
mod_track - File Injection Detection

 
Neue Antwort erstellen    ConPresso Community Foren-Übersicht -> Kleine und neue Module
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 7037

BeitragVerfasst am: 13.04.2009 15:50    Titel: mod_track - File Injection Detection Antworten mit Zitat

Nach den jüngsten Angriffen auf Webauftritte, bei denen Dateien manipuliet wurden, habe ich ein kleines Modul zur Überprüfung der Dateien geschrieben.

Wichtig: Das Modul sollte installiert werden, wenn noch alles in Ordnung ist! Es hilft lediglich Angriffe (oder auch die normalen Arbeiten auf der Webseite) zu erkennen und automatisch darauf aufmerksam gemacht zu werden.

Was macht das Modul?
Es protokolliert für alle Dateien des Webauftritts eine Prüfsumme, das Änderungsdatum sowie die Dateirechte.
Nun kann manuell oder in einstellbaren Intervallen der aktuelle Stand mit diesem Protokoll verglichen werden. Veränderungen werden automatisch per Mail gemeldet.
Dabei können auch einige Dateitypen oder Verzeichnisse ausgeschlossen werden, um nicht jede Logfileänderung gemeldet zu bekommen.

Das Modul muß nur installiert und aktiviert werden.
Dann sollten die gewünschten Einstellungen gemacht werden und mittels "Update database" ein Protokoll erstellt werden.

Das war's.

Das Modul befindet sich in einem frühen Beta-Stadium, daher (wie immer) vorher ein Backup der Datenbank und(!) der Daten anlegen!





track1.png

track1.png - 21211 mal


track2.png

track2.png - 21211 mal


track3.png

track3.png - 21211 mal


_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 7037

BeitragVerfasst am: 13.04.2009 15:53    Titel: Antworten mit Zitat

Und hier das Modul als Beta 1

Feedback erwünscht!

Und für noch mehr Sicherheit gibt es ja gegen SQL-Injections den ctracker:
http://community.conpresso.de/viewtopic.php?t=3160
Sollte eigentlich in JEDEM ConPresso mitlaufen!





mod_track_beta1_090413.zip - 8.14 KB
1083 mal


_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7

 
Für dieses Posting bedanken sich die folgenden User: lube8t
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
balu
ConPresso-Entwickler


Anmeldungsdatum: 01.01.1970
Beiträge: 1748

BeitragVerfasst am: 14.04.2009 08:57    Titel: Antworten mit Zitat

Hi Markus,

Du könntest noch die Liste der eigentlichen ConPresso-Files (wie beim Setup) anhand der md5-Keys in _include/md5_files.inc.php prüfen und ausgeben, ob die sich vom Original unterscheiden.

Dann kann man z.B. sehen, ob bei einem Update Dateien vergessen wurden oder vor dem Update sicherstellen, dass selbst modifizierte Dateien nicht überschrieben werden.

Balu

_________________
Bartels.Schöne
ConPresso Support & Development
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Mr. Magpie
ConPresso-Experte


Anmeldungsdatum: 01.01.1970
Beiträge: 999
Wohnort: Wuppertal

BeitragVerfasst am: 14.04.2009 12:00    Titel: Antworten mit Zitat

Die md5-Keys-Überprüfung habe ich bei meinen Projekten irgendwann komplett deaktiviert - bei so vielen inzwischen aufgelaufenen Bugfixes etc. nervt diese mehr als dass sie nutzt.

Apropos Bugfixes, Balu, wie sieht es denn mit der CPO-Entwicklung aus? Ich muss schon reihenweise meine Kunden besänftigen, weil sie glauben, CPO sei inzwischen tot, ohne dass ich Argumente habe, um ihnen zu widersprechen. Bald glaub' ich's schon selbst...

_________________
Günther Ludwig, amazingBytes webdesign   

Referenzen finden Sie hier: amazingBytes webdesign - Referenzen
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
balu
ConPresso-Entwickler


Anmeldungsdatum: 01.01.1970
Beiträge: 1748

BeitragVerfasst am: 20.04.2009 21:09    Titel: Antworten mit Zitat

Hi Magpie,

wir haben morgen eine Sitzung mit den betroffenen Personen, Entwicklern, usw. um unser weiteres Vorgehen im Bezug auf die Veröffentlichung einer 4.0.8 oder / und einer 4.1.0 (evtl. als beta) zu besprechen.

Danach kann ich Dir dann mehr sagen.

Balu
MD5-Prüfung nervt? Eigentlich wird sie doch nur bei der Installation benutzt bisher?

_________________
Bartels.Schöne
ConPresso Support & Development

 
Für dieses Posting bedanken sich die folgenden User: Mr. Magpie
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 7037

BeitragVerfasst am: 20.04.2009 21:40    Titel: Antworten mit Zitat

balu hat Folgendes geschrieben:
MD5-Prüfung nervt? Eigentlich wird sie doch nur bei der Installation benutzt bisher?

Dann muß man aber ein Original ConPresso installieren.
Nicht mal die fehlerhafte member.php kann man austauschen und fängt somit immer wieder bei Null an...
Wer also ein "gepimptes" ConPresso installieren möchte, der schaltet die MD5-Prüfung ab (weiß aber meist schon vorher ob der FTP-Client was taugt oder nicht...)

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
balu
ConPresso-Entwickler


Anmeldungsdatum: 01.01.1970
Beiträge: 1748

BeitragVerfasst am: 24.04.2009 22:50    Titel: Antworten mit Zitat

Hi Magpie,

zu der Weiterentwicklung von ConPresso: wir stecken hier ein wenig zwischen den Welten.

Wir haben uns zwischendurch einige Zeit an anderen Projekten (unter anderem auf Basis von ConPresso) gearbeitet. Diese teils größeren Projekte haben uns sehr stark beschäftigt. Aber sie haben uns auch den Kopf etwas frei gemacht, um über die Weiterentwicklung von ConPresso an sich nachdenken zu können.

Wir haben seit ein paar Wochen einen Release für eine 4.0.8 im Kopf, die verschiedene Kleinigkeiten ergänzt und Bugs fixt.

Für diese Version haben wir auch das Handbuch für einen Haufen Geld auf englisch übersetzen lassen, aber wie Du Dir bei der Größe des Handbuchs vorstellen kannst, ist einiges mehr an Arbeit nötig: Screenshots einfügen, Links prüfen, ...

Auf der anderen Schiene haben wir eine 4.1 auf der Entwicklungsstraße, die innerhalb von ConPresso pflegbare Seitentemplates bringen wird. Das bedeutet, es sind keine Header- oder Footer-Dateien mehr nötig (aber natürlich möglich, auch rückwärtskompatibel). Ausserdem werden die Platzhalter in den Templates flexibler.

Hier hängen wir ein wenig, weil wir nicht wissen, ob die Funktionalität diesbezüglich schon ausreicht, ob wir vielleicht doch etwas anders machen müssten, usw. Aus diesem Grund, wird es hier erst eine Beta-Version zum Testen geben.

Im großen und ganzen hakt es im Moment bei den "unangenehmen" Feinheiten, die einfach nur Zeit kosten.

Ich werde aber versuchen in den nächsten Tagen zumindest erstmal die 4.0.8 auf den Weg zu bringen.

Anschließend können wir uns ja einfach mal zusammen die 4.1 anschauen Wink
Balu

_________________
Bartels.Schöne
ConPresso Support & Development

 
Für dieses Posting bedanken sich die folgenden User: Mr. Magpie
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 7037

BeitragVerfasst am: 21.06.2010 18:42    Titel: Antworten mit Zitat

balu hat Folgendes geschrieben:
Hi Markus,

Du könntest noch die Liste der eigentlichen ConPresso-Files (wie beim Setup) anhand der md5-Keys in _include/md5_files.inc.php prüfen und ausgeben, ob die sich vom Original unterscheiden.

Dann kann man z.B. sehen, ob bei einem Update Dateien vergessen wurden oder vor dem Update sicherstellen, dass selbst modifizierte Dateien nicht überschrieben werden.

Balu

Diese Prüfung hast Du ja freundlicherweise im Update-Script durchgespielt.
Ich habe mir erlaubt diese noch safe_mode- und open_basedir-fest zu machen und als dritte Option ins Modul einzubauen.
Neben dem Injection-Check (also ungewollte Änderungen) und den zugehörigen Einstellungen (um z.B. _data oder bstimmte Dateitypen auszuschließen) gibt es nun noch einen Upgrade-Check, der prüft, inwiefern sich Dateien vom urspünglichen Original anhand der md5-Prüfsummen unterscheiden.





track4.png
Klicken für Originalbild! track4.png (8.35KB) - 956 mal angeklickt



cpo4_mod_track_4.0.zip - 9.96 KB
953 mal


_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7

 
Für dieses Posting bedanken sich die folgenden User: hscha
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 7037

BeitragVerfasst am: 10.03.2013 15:17    Titel: Antworten mit Zitat

Hier eine neue Version 4.1.

Angepasst für PHP 5.4.

Neu: Angabe von einer maximalen Größe, um Scans sehr großer Dateien zu verhindern (Scriptabbrüche wegen Serverbeschränkungen).





cpo4_mod_track_4.1.zip - 10.1 KB
694 mal


_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7

 
Für dieses Posting bedanken sich die folgenden User: hscha
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
Marky
ConPresso-Checker


Anmeldungsdatum: 11.12.2005
Beiträge: 382

BeitragVerfasst am: 23.10.2013 17:46    Titel: Fehlermeldungen beim Check Antworten mit Zitat

Hallo Markus,

ich habe das Teil mal installiert. Mir fällt jetzt auf (Testsystem), dass die beiden Dateien, bei jedem Update Database als NEW angezeigt werden und dann noch doppelt Question
Hast Du eine Idee, woran das liegen kann?

cpo4.09/mod_track4.1





mod_track.png
Klicken für Originalbild! mod_track.png (8.4KB) - 626 mal angeklickt



_________________
Gruß
Marky
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 7037

BeitragVerfasst am: 23.10.2013 19:24    Titel: Antworten mit Zitat

Diese beiden Dateien gehören gar nicht zu 4.0.9, weil sie seit 4.0.9 KLEIN geschrieben werden.
Da mit den Dateinamen als Key ein Array gefüllt wird könnte das doppelte Vorhandensein der Dateien (nach einem Upgrade?) zu diesem Fehler führen. Wenn es sie doppelt auf dem Server gibt dann lösche die mit Großschreibung!

Habe es anschließend mal selbst getestet und die alten Dateien aus 4.0.8 in eine 4.1.6 kopiert und erhalte das gleiche Ergebnis. Nur waren bei mir kleingeschriebenen zuerst da...





track.jpg

track.jpg - 17236 mal


_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
Marky
ConPresso-Checker


Anmeldungsdatum: 11.12.2005
Beiträge: 382

BeitragVerfasst am: 02.11.2013 12:04    Titel: Antworten mit Zitat

Hallo Markus,

vielen Dank. Das war die Ursache.
Ansonsten funktioniert das Modul wie beschrieben. Sehr nützlich seit den letzten Vorkommnissen Wink

_________________
Gruß
Marky
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 7037

BeitragVerfasst am: 29.12.2013 19:42    Titel: Antworten mit Zitat

Neue Version 4.2 !

- deutsche Übersetzung
- kleinere optische Anpassungen
- Absenderadresse einstellbar
- Ausgabe von Meldungen nur beim manuellen Check

Für Updatewillige:
- Dateien auf den Server kopieren
- Absenderadresse eintragen
- max. Dateigröße (1000000 oder gewünschter Wert) eintragen, falls Update von 4.0





cpo4_mod_track_4.2.zip - 13.37 KB
635 mal


_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 7037

BeitragVerfasst am: 03.01.2019 19:28    Titel: Antworten mit Zitat

Neue Version 4.4

kompatibel mit PHP 7.2

neu: im zugesendeten Info-Mail gibt es jetzt einen hash-gesicherten Link, mit dem man die Änderungen akzeptieren und die Datenbank aktualisieren kann.
(mir ist es einfach zu oft passiert, dass ich noch schnell was an einer HP geändert habe und dann unterwegs permanent die Warnmails erhielt)

Eine 4.2 kann einfach überschrieben werden.





cpo4_mod_track_4.4.zip - 15.03 KB
6 mal


_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
Beiträge der letzten Zeit anzeigen:   
Neue Antwort erstellen    ConPresso Community Foren-Übersicht -> Kleine und neue Module Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Du kannst Dateien in diesem Forum nicht posten
Du kannst Dateien in diesem Forum herunterladen