php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Webmaster > Webmaster
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


Webmaster Fragen rund um die Homepage. Hier könnt ihr eure Tips und Anregungen an andere Webmaster und Homepagebetreiber weitergeben.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 17-12-2014, 17:17
streuner
 Registrierter Benutzer
Links : Onlinestatus : streuner ist offline
Registriert seit: Aug 2009
Ort: Lüneburg
Beiträge: 623
streuner ist zur Zeit noch ein unbeschriebenes Blatt
Standard Webseite angegriffen?!

Hi,

folgende Situation: auf Domain befindet sich eine Website mit Joomla (aktuell) und in einem Unterordner ein selbstgebautes einfaches CMS zur Verwaltung von unterschiedlichen Personen (dort werden Unterlagen bereitgestellt usw.) in einem geschützten Bereich. Das selbstgebaute CMS beinhaltet ein Registrierungsformular mit Captcha, Aktivierungsemail und der Login sperrt eine IP-adresse bei 5x falscher Eingabe für eine gewisse Zeit. Programmierung mit PHP und PDO (Prepared Statements), GET-Parameter werden über eine Whitelist gehandhabt, dynamische Get-Werte auf nummerisch geprüft usw.

Jetzt gab es zu einem Zeitpunkt wohl massive Serveranfragen auf dieses Unter-CMS und die Zugriffe außerhalb von Deutschland, Schweiz und Österreich wurden gesperrt. Das teilte uns unser Provider (kleines 3-Mann Unternehmen mit gehosteten Servern) mit und hat den Zugang zu unserer Plesk Oberfläche gesperrt, so dass wir Änderungen an der Datenbank nicht mehr vornehmen können. Er hätte gerne, das wir alles abschalten, da seiner ansicht nach durch die "massive Anzahl" an Zugriffen, eine Sicherheitslücke vorhanden ist. Wir wissen jetzt nicht genau, wie wir das nachprüfen sollen und konnten so auch nichts feststellen. Was für eine Aussagekraft haben Online Scan Dienste, wie hier z.B.: Online Scanner gegen Schadsoftware in dem Zusammenhang?

Natürlich haben wir alle Passwörter geändert und nachgeprüft ob verdächtige Dateien o.ä. aufem Server sich befindet (FTP Zugang ist vorhanden) jedoch ist das arbeiten momentan natürlich sehr eingeschränkt, da arbeiten an der Datenbank (MySQL) immer an den "provider" als SQL File geschickt werden muss und der das irgendwann dann importiert.

Danke für Ratschläge unt tipps.

mfg

EDIT: ich hatte das bereits in phpforum gepostet und bisher noch keine Hilfestellung/Anregungen/Tipps bekommen, weswegen ich das jetzt hier noch einmal poste.
__________________
Erst wenn der letzte FTP Server kostenpflichtig, der letzte GNU-Sourcecode verkauft, der letzte Algorithmus patentiert,
der letzte Netzknoten verkommerzialisert ist, werdet Ihr merken, dass Geld nicht von alleine programmiert.

"Diese Software verdient die 3 großen GGG: --- Gesehen --- Gelacht --- Gelöscht ---"
Mit Zitat antworten
  #2 (permalink)  
Alt 17-12-2014, 18:41
Quetschi
 PHP Expert
Links : Onlinestatus : Quetschi ist offline
Registriert seit: Dec 2004
Beiträge: 3.134
Quetschi wird schon bald berühmt werden
Standard

Zitat:
Zitat von streuner Beitrag anzeigen
und hat den Zugang zu unserer Plesk Oberfläche gesperrt, so dass wir Änderungen an der Datenbank nicht mehr vornehmen können.
Ich würd euren Provider fragen was das bringen soll?

Habt ihr vom Provider Informationen darüber bekommen, wie die Requests aussahen, die abgesetzt wurden? Das können auch irgendwelche Bots sein, die die Domain einfach mal daraufhin abklopfen ob da Wordpress/Typ3 oder Konsorten mit bekannten Sicherheitslücken am werkeln sind.

Kann euch euer Provider in irgendeiner Form beweisen, dass bei eurem CMS Sicherheitslücken vorhanden sind, die mit diesen Requests ausgenutzt wurden?
__________________
Ihr habt ein Torturial durchgearbeitet, das auf den mysql_-Funktionen aufbaut?
Schön - etwas Geschichte kann ja nicht schaden.
Aber jetzt seht euch bitte php.net/pdo oder php.net/mysqli bevor ihr beginnt!
Mit Zitat antworten
  #3 (permalink)  
Alt 17-12-2014, 20:21
streuner
 Registrierter Benutzer
Links : Onlinestatus : streuner ist offline
Registriert seit: Aug 2009
Ort: Lüneburg
Beiträge: 623
streuner ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Ich würd euren Provider fragen was das bringen soll?
Ist mir ehrlich gesagt auch etwas ein Rätsel, da unser FTP Zugang noch besteht und unsere Scripte auf die Datenbank zugreifen können. Wir können lediglich nicht mehr in die Plesk Oberfläche oder auf phpmyadmin zugreifen. Sämtliche Änderungen die gemacht werden müssen, muss ich momentan per SQL Dump zuschicken und er spielt das ein. Ziemlich umständlich und nervig, da das natürlich nicht zeitnah ist.

Zitat:
Habt ihr vom Provider Informationen darüber bekommen, wie die Requests aussahen, die abgesetzt wurden?
Die Information war, das mehrere hundert Serveranfragen die Minute auf unser CMS System erfolgt sind. Ich kann das leider nicht nachvollziehen und seine Aussage ist, dass eine Sicherheitslücke bei uns vorliegt (in welcher Form sagt er nicht und verweist auf die Zugriffe). Weiterhin (wie bereits erwähnt) soll es erst besser geworden sein, nachdem die Zugriffe außerhalb von Deutschland, der Schweiz und Österreich gesperrt wurden.

Zitat:
Das können auch irgendwelche Bots sein, die die Domain einfach mal daraufhin abklopfen ob da Wordpress/Typ3 oder Konsorten mit bekannten Sicherheitslücken am werkeln sind.
War auch meine Vermutung, da unsere Hauptwebseite mittels Joomla umgesetzt wurde.

Zitat:
Kann euch euer Provider in irgendeiner Form beweisen, dass bei eurem CMS Sicherheitslücken vorhanden sind, die mit diesen Requests ausgenutzt wurden?
Bisher hält er sich mit konkreten Ansagen bedeckt und verweist auf die unzähligen Serveraufrufe. Wie könnte er den "eine Sicherheitslücke" bei uns beweisen? Welche Vorkehrungen wir bei unserem eigenen, kleinen CMS System haben, hab ich ja bereits beschrieben.

Wir sind etwas ratlos, was wir machen können, oder wie wir feststellen können, ob wir wirklich eine Sicherheitslücke habe!! Gibt es eine Möglichkeit das irgendwie festzustellen? Ich bin sicherheitshalber den Code in groben Zügen nochmal durchgegangen und habe jetzt so erstmal keine "Lücke" entdeckt (kein SQL Injection, kein XSS usw) möglich (wenn ich nichts übersehen habe).

Danke für deine Hilfe.

mfg
__________________
Erst wenn der letzte FTP Server kostenpflichtig, der letzte GNU-Sourcecode verkauft, der letzte Algorithmus patentiert,
der letzte Netzknoten verkommerzialisert ist, werdet Ihr merken, dass Geld nicht von alleine programmiert.

"Diese Software verdient die 3 großen GGG: --- Gesehen --- Gelacht --- Gelöscht ---"
Mit Zitat antworten
  #4 (permalink)  
Alt 17-12-2014, 21:04
Quetschi
 PHP Expert
Links : Onlinestatus : Quetschi ist offline
Registriert seit: Dec 2004
Beiträge: 3.134
Quetschi wird schon bald berühmt werden
Standard

Zitat:
Zitat von streuner Beitrag anzeigen
Bisher hält er sich mit konkreten Ansagen bedeckt und verweist auf die unzähligen Serveraufrufe.
Dann würd ich den Provider bitten konkrete Informationen zu liefern und falls er dieser Bitte nicht nachkommt darauf bestehen, dass die volle Funktionalität wiederhergestellt wird.

Sicherheitslücken kann meinetwegen vermuten wer will und wo er will - aber Aufgrund von Vermutungen eine bezahlte Dienstleistung einschränken geht nicht. Hier muss der Provider meiner Meinung nach einen belastbaren Nachweis erbringen und keine diffusen Informationen.
__________________
Ihr habt ein Torturial durchgearbeitet, das auf den mysql_-Funktionen aufbaut?
Schön - etwas Geschichte kann ja nicht schaden.
Aber jetzt seht euch bitte php.net/pdo oder php.net/mysqli bevor ihr beginnt!
Mit Zitat antworten
  #5 (permalink)  
Alt 18-12-2014, 00:24
streuner
 Registrierter Benutzer
Links : Onlinestatus : streuner ist offline
Registriert seit: Aug 2009
Ort: Lüneburg
Beiträge: 623
streuner ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Dann würd ich den Provider bitten konkrete Informationen zu liefern und falls er dieser Bitte nicht nachkommt darauf bestehen, dass die volle Funktionalität wiederhergestellt wird.

Sicherheitslücken kann meinetwegen vermuten wer will und wo er will - aber Aufgrund von Vermutungen eine bezahlte Dienstleistung einschränken geht nicht. Hier muss der Provider meiner Meinung nach einen belastbaren Nachweis erbringen und keine diffusen Informationen.
Ok, danke für deine Einschätzung. Bringen solche Online Tools etwas, wie oben in dem Link beschrieben?

Ich werde bei ihm nochmal nachhaken und schauen, was er sagt. Problem ist halt, das uns einfach die Informationsbasis fehlt um irgendwas einzuschätzen und wir gerade nicht wissen, wie wir irgendwas nachprüfen sollen.
__________________
Erst wenn der letzte FTP Server kostenpflichtig, der letzte GNU-Sourcecode verkauft, der letzte Algorithmus patentiert,
der letzte Netzknoten verkommerzialisert ist, werdet Ihr merken, dass Geld nicht von alleine programmiert.

"Diese Software verdient die 3 großen GGG: --- Gesehen --- Gelacht --- Gelöscht ---"
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Mehrsprachige Webseite faztu1 XML 10 11-10-2011 20:22
Webseite speichern oBdA PHP Developer Forum 2 05-08-2006 13:48
foren in webseite elk1fri Apps und PHP Script Gesuche 2 22-02-2006 20:53
Scriptanmeldung an Webseite L0ui Projekthilfe 0 23-01-2006 15:41
fopen - Webseite SRalf PHP Developer Forum 35 13-08-2005 15:50

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

ADSMAN V3 - Werbe-Manager ansehen ADSMAN V3 - Werbe-Manager

ADSMAN V3 - mehr als nur ein Bannermanager! Banner, Textanzeigen und PagePeel Manager! Mit ADSMAN PRO haben Sie die Marketinglösung für eine effektive und effiziente Werbeschaltung mit messbaren Ergebnissen. Unterstützt werden Bannerformate in beliebi

25.10.2018 virtualsystem | Kategorie: PHP/ Bannerverwaltung
PHP News und Artikel Script V2

News schreiben, verwalten, veröffentlichen. Dies ist jetzt mit dem neuen PHP News & Artikel System von virtualsystem.de noch einfacher. Die integrierte Multi-User-Funktion und der WYSIWYG-Editor (MS-Office ähnliche Bedienung) ermöglichen...

25.10.2018 virtualsystem | Kategorie: PHP/ News
Top-Side Guestbook

Gästebuch auf Textbasis (kein MySQL nötig) mit Smilies, Ip Sperre (Zeit selbst einstellbar), Spamschutz, Captcha (Code-Eingabe), BB-Code, Hitcounter, Löschfunktion, Editierfunktion, Kommentarfunktion, Kürzung langer Wörter, Seiten- bzw. Blätterfunktion, V

22.10.2018 webmaster10 | Kategorie: PHP/ Gaestebuch
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 12:38 Uhr.