mod_track - File Injection Detection

Diskussion zu nicht so umfangreichen Modulen und Start-Up für neue Module. Ansonsten bitte die speziellen Kategorien benutzen!
Antworten
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7361
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

mod_track - File Injection Detection

Beitrag von MarkusR »

Nach den jüngsten Angriffen auf Webauftritte, bei denen Dateien manipuliet wurden, habe ich ein kleines Modul zur Überprüfung der Dateien geschrieben.

Wichtig: Das Modul sollte installiert werden, wenn noch alles in Ordnung ist! Es hilft lediglich Angriffe (oder auch die normalen Arbeiten auf der Webseite) zu erkennen und automatisch darauf aufmerksam gemacht zu werden.

Was macht das Modul?
Es protokolliert für alle Dateien des Webauftritts eine Prüfsumme, das Änderungsdatum sowie die Dateirechte.
Nun kann manuell oder in einstellbaren Intervallen der aktuelle Stand mit diesem Protokoll verglichen werden. Veränderungen werden automatisch per Mail gemeldet.
Dabei können auch einige Dateitypen oder Verzeichnisse ausgeschlossen werden, um nicht jede Logfileänderung gemeldet zu bekommen.

Das Modul muß nur installiert und aktiviert werden.
Dann sollten die gewünschten Einstellungen gemacht werden und mittels "Update database" ein Protokoll erstellt werden.

Das war's.

Das Modul befindet sich in einem frühen Beta-Stadium, daher (wie immer) vorher ein Backup der Datenbank und(!) der Daten anlegen!
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7361
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Und hier das Modul als Beta 1

Feedback erwünscht!

Und für noch mehr Sicherheit gibt es ja gegen SQL-Injections den ctracker:
http://community.conpresso.de/viewtopic.php?t=3160
Sollte eigentlich in JEDEM ConPresso mitlaufen!
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
balu
ConPresso-Entwickler
Beiträge: 1748
Registriert: 01.01.1970 01:00
Hat sich bedankt: 81 Mal
Danksagung erhalten: 133 Mal

Beitrag von balu »

Hi Markus,

Du könntest noch die Liste der eigentlichen ConPresso-Files (wie beim Setup) anhand der md5-Keys in _include/md5_files.inc.php prüfen und ausgeben, ob die sich vom Original unterscheiden.

Dann kann man z.B. sehen, ob bei einem Update Dateien vergessen wurden oder vor dem Update sicherstellen, dass selbst modifizierte Dateien nicht überschrieben werden.

Balu
Bartels.Schöne
ConPresso Support & Development
Benutzeravatar
Mr. Magpie
ConPresso-Profi
Beiträge: 1004
Registriert: 01.01.1970 01:00
Wohnort: Wuppertal
Hat sich bedankt: 274 Mal
Danksagung erhalten: 59 Mal

Beitrag von Mr. Magpie »

Die md5-Keys-Überprüfung habe ich bei meinen Projekten irgendwann komplett deaktiviert - bei so vielen inzwischen aufgelaufenen Bugfixes etc. nervt diese mehr als dass sie nutzt.

Apropos Bugfixes, Balu, wie sieht es denn mit der CPO-Entwicklung aus? Ich muss schon reihenweise meine Kunden besänftigen, weil sie glauben, CPO sei inzwischen tot, ohne dass ich Argumente habe, um ihnen zu widersprechen. Bald glaub' ich's schon selbst...
Günther Ludwig
Benutzeravatar
balu
ConPresso-Entwickler
Beiträge: 1748
Registriert: 01.01.1970 01:00
Hat sich bedankt: 81 Mal
Danksagung erhalten: 133 Mal

Beitrag von balu »

Hi Magpie,

wir haben morgen eine Sitzung mit den betroffenen Personen, Entwicklern, usw. um unser weiteres Vorgehen im Bezug auf die Veröffentlichung einer 4.0.8 oder / und einer 4.1.0 (evtl. als beta) zu besprechen.

Danach kann ich Dir dann mehr sagen.

Balu
MD5-Prüfung nervt? Eigentlich wird sie doch nur bei der Installation benutzt bisher?
Bartels.Schöne
ConPresso Support & Development
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7361
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

balu hat geschrieben:MD5-Prüfung nervt? Eigentlich wird sie doch nur bei der Installation benutzt bisher?
Dann muß man aber ein Original ConPresso installieren.
Nicht mal die fehlerhafte member.php kann man austauschen und fängt somit immer wieder bei Null an...
Wer also ein "gepimptes" ConPresso installieren möchte, der schaltet die MD5-Prüfung ab (weiß aber meist schon vorher ob der FTP-Client was taugt oder nicht...)
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
balu
ConPresso-Entwickler
Beiträge: 1748
Registriert: 01.01.1970 01:00
Hat sich bedankt: 81 Mal
Danksagung erhalten: 133 Mal

Beitrag von balu »

Hi Magpie,

zu der Weiterentwicklung von ConPresso: wir stecken hier ein wenig zwischen den Welten.

Wir haben uns zwischendurch einige Zeit an anderen Projekten (unter anderem auf Basis von ConPresso) gearbeitet. Diese teils größeren Projekte haben uns sehr stark beschäftigt. Aber sie haben uns auch den Kopf etwas frei gemacht, um über die Weiterentwicklung von ConPresso an sich nachdenken zu können.

Wir haben seit ein paar Wochen einen Release für eine 4.0.8 im Kopf, die verschiedene Kleinigkeiten ergänzt und Bugs fixt.

Für diese Version haben wir auch das Handbuch für einen Haufen Geld auf englisch übersetzen lassen, aber wie Du Dir bei der Größe des Handbuchs vorstellen kannst, ist einiges mehr an Arbeit nötig: Screenshots einfügen, Links prüfen, ...

Auf der anderen Schiene haben wir eine 4.1 auf der Entwicklungsstraße, die innerhalb von ConPresso pflegbare Seitentemplates bringen wird. Das bedeutet, es sind keine Header- oder Footer-Dateien mehr nötig (aber natürlich möglich, auch rückwärtskompatibel). Ausserdem werden die Platzhalter in den Templates flexibler.

Hier hängen wir ein wenig, weil wir nicht wissen, ob die Funktionalität diesbezüglich schon ausreicht, ob wir vielleicht doch etwas anders machen müssten, usw. Aus diesem Grund, wird es hier erst eine Beta-Version zum Testen geben.

Im großen und ganzen hakt es im Moment bei den "unangenehmen" Feinheiten, die einfach nur Zeit kosten.

Ich werde aber versuchen in den nächsten Tagen zumindest erstmal die 4.0.8 auf den Weg zu bringen.

Anschließend können wir uns ja einfach mal zusammen die 4.1 anschauen ;-)
Balu
Bartels.Schöne
ConPresso Support & Development
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7361
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

balu hat geschrieben:Hi Markus,

Du könntest noch die Liste der eigentlichen ConPresso-Files (wie beim Setup) anhand der md5-Keys in _include/md5_files.inc.php prüfen und ausgeben, ob die sich vom Original unterscheiden.

Dann kann man z.B. sehen, ob bei einem Update Dateien vergessen wurden oder vor dem Update sicherstellen, dass selbst modifizierte Dateien nicht überschrieben werden.

Balu
Diese Prüfung hast Du ja freundlicherweise im Update-Script durchgespielt.
Ich habe mir erlaubt diese noch safe_mode- und open_basedir-fest zu machen und als dritte Option ins Modul einzubauen.
Neben dem Injection-Check (also ungewollte Änderungen) und den zugehörigen Einstellungen (um z.B. _data oder bstimmte Dateitypen auszuschließen) gibt es nun noch einen Upgrade-Check, der prüft, inwiefern sich Dateien vom urspünglichen Original anhand der md5-Prüfsummen unterscheiden.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7361
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Hier eine neue Version 4.1.

Angepasst für PHP 5.4.

Neu: Angabe von einer maximalen Größe, um Scans sehr großer Dateien zu verhindern (Scriptabbrüche wegen Serverbeschränkungen).
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
Marky
ConPresso-Checker
Beiträge: 382
Registriert: 11.12.2005 15:29
Hat sich bedankt: 29 Mal
Danksagung erhalten: 18 Mal
Kontaktdaten:

Fehlermeldungen beim Check

Beitrag von Marky »

Hallo Markus,

ich habe das Teil mal installiert. Mir fällt jetzt auf (Testsystem), dass die beiden Dateien, bei jedem Update Database als NEW angezeigt werden und dann noch doppelt :?:
Hast Du eine Idee, woran das liegen kann?

cpo4.09/mod_track4.1
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Gruß
Marky
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7361
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Diese beiden Dateien gehören gar nicht zu 4.0.9, weil sie seit 4.0.9 KLEIN geschrieben werden.
Da mit den Dateinamen als Key ein Array gefüllt wird könnte das doppelte Vorhandensein der Dateien (nach einem Upgrade?) zu diesem Fehler führen. Wenn es sie doppelt auf dem Server gibt dann lösche die mit Großschreibung!

Habe es anschließend mal selbst getestet und die alten Dateien aus 4.0.8 in eine 4.1.6 kopiert und erhalte das gleiche Ergebnis. Nur waren bei mir kleingeschriebenen zuerst da...
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
Marky
ConPresso-Checker
Beiträge: 382
Registriert: 11.12.2005 15:29
Hat sich bedankt: 29 Mal
Danksagung erhalten: 18 Mal
Kontaktdaten:

Beitrag von Marky »

Hallo Markus,

vielen Dank. Das war die Ursache.
Ansonsten funktioniert das Modul wie beschrieben. Sehr nützlich seit den letzten Vorkommnissen :wink:
Gruß
Marky
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7361
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Neue Version 4.2 !

- deutsche Übersetzung
- kleinere optische Anpassungen
- Absenderadresse einstellbar
- Ausgabe von Meldungen nur beim manuellen Check

Für Updatewillige:
- Dateien auf den Server kopieren
- Absenderadresse eintragen
- max. Dateigröße (1000000 oder gewünschter Wert) eintragen, falls Update von 4.0
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7361
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Neue Version 4.4

kompatibel mit PHP 7.2

neu: im zugesendeten Info-Mail gibt es jetzt einen hash-gesicherten Link, mit dem man die Änderungen akzeptieren und die Datenbank aktualisieren kann.
(mir ist es einfach zu oft passiert, dass ich noch schnell was an einer HP geändert habe und dann unterwegs permanent die Warnmails erhielt)

Eine 4.2 kann einfach überschrieben werden.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Antworten