[NEU] RexPHPIDS: Intrusion Detection für Redaxo..

[jdlx]

Moin,

ein neues Addon ist auf dem Markt:
ich zitier hier einfach mal nur den Klappentext: ;)

RexPHPIDS

Das Addon bindet das PHPIDS – PHP-Intrusion Detection System in Redaxo ein und erlaubt damit die Protokollierung von Angriffsversuchen gegen die Redaxo Installation.

Die Prokollierung erfolgt in einer eigenen DB Tabelle, und/oder über eine Email an einen oder mehrere Empfänger. Der Schwellenwert ab welcher Angriffs-Schwere (impact) geloggt werden soll ist separat pro Methode einstellbar.

Requirements

* Redaxo: >= 4.2.1
* Addons: PHPMailer und Textile
* PHP: >= 5.1.6
* Geoloc Funktionen benötigen @curl@ oder @allow_url_fopen@

INFOS: https://github.com/jdlx/rex_phpids#readme
DOWNLOAD: https://github.com/jdlx/rex_phpids/tags
SCREENSHOTS: http://rexdev.de/addons/rex-phpids.html

[Ruediger.Nitzsche]

Werde ich bei Gelegenheit gerne mal antesten, eine generelle Anmerkung zu solchen Systemen aber gleich mal vorab, gerade wenn heftige Attacken stattfinden, kann es da zu einem zusätzlichen DDOS führen, da die Last auf den DB-Server immens ansteigt, stellen wir im Hostingalltag regelmässig fest.

Rüdiger

[jdlx]

gerade wenn heftige Attacken stattfinden, kann es da zu einem zusätzlichen DDOS führen, da die Last auf den DB-Server immens ansteigt,

Gut, richtig quietschen tuts irgendwann natürlich schon.. ;)
Außer per Schwellenwert gibts (bis dato) keine Steuermöglichkeit das logging über Last oder Frequenz einzugrenzen - außer man schaltet es ganz aus. Was dann - als stille Reserve im Hintergrund - noch mitschreibt ist das logfile.

lg,
Jan

[Ruediger.Nitzsche]

Genau das ist die konzeptionelle Schwäche bei diesem System an sich Die Frage ist auch, wie und vor was will man sich gerade bei Redaxo schützen, in all den Jahren ist zumindest bei uns keine einzige Installation auf den Servern gehackt worden (sichere PHP-Konfig allerdings gegeben), im Gegensatz zu hunderten Joomla und phpBB, finde allerdings eine Diskussion spannend, auch wenn es etwas off Topic wird.

Rüdiger

[jdlx]

Genau das ist die konzeptionelle Schwäche bei diesem System an sich :)

Jein, das ist schon so getrennt, daß der PHPIDS core _nur_ auswertet.. und das wohl recht fix. Die logging procedures (file,db,mail) sind für sich implementiert, ob und wie man sie nutzt ist dem Anwender/"Implementierer" überlassen, sprich liegen im Machtbereich des Addons.. d.h. man könnte bei Bedarf auch irgendeine Form von throtteling reinstricken, nur würd ich das erstmal abwarten wollen obs Not tut.

Die Frage ist auch, wie und vor was will man sich gerade bei Redaxo schützen, in all den Jahren ist zumindest bei uns keine einzige Installation auf den Servern gehackt worden

"Sicherheit ist immer gefühlt.." Ich finds einfach spaßig ein Tool mit GUI zu haben.. logfiles sind unsexy. ;) Im übrigen: um den Redaxo core würd ich mir auch nich groß Gedanken machen, aber es gibt ja ein buntes "Drumrum" sag ich mal..

finde allerdings eine Diskussion spannend, auch wenn es etwas off Topic wird.

Meinst du jetzt andere Systeme oder das THema an sich?

lg,
j.

[Ruediger.Nitzsche]

Meinst du jetzt andere Systeme oder das THema an sich?

Das Thema Sicherheit, Vorsorge, was tun bei Angriffen etc. an sich. Wir haben z.B. gerade ne heftige Situation hinter uns mit 4 Tagen Dauer-DDOS und haben festgestellt, es gibt keine wirkliche Lösung bei der richtigen Art von Angriff, das zwingt jede Kiste in die Knie, jetzt gibts für den betroffenen Shop nur noch ein deutsches Internet bzw. Zugriff darauf, ab dann war Ruhe.

Rüdiger

[jdlx]

Wir haben z.B. gerade ne heftige Situation hinter uns mit 4 Tagen Dauer-DDOS

Waren das exploits oder einfach "nur" bazillion Standardaufrufe?

jetzt gibts für den betroffenen Shop nur noch ein deutsches Internet bzw. Zugriff darauf, ab dann war Ruhe.

Gut, das ist ein anderer Punkt.. die Reaktion. PHPIDS ist ja nur dazu da Exploits (oder was es dafür hält) zu erkennen, das Thema Reaktion ist ganz klar jedem selbst überlassen. Ich plane fürs Addon zwei EPs, einen nach Erkennung, und einen nahc erflogtem logging.. daran sollen sich da plugins mit ihrer Reaktion hängen können. Ob man dann umleitet, abbricht, IP blockt, oder was auch immer, ist Bier des plugins..

Frage in Richtung Server/Hosting: gibts sowas wie.. dunno, "dynamisches throttling" das selbstständig reagiert, in dem Sinne, daß es z.b. ganze ip ranges runterregelt oder ganz blockt?

lg,
j.

[Ruediger.Nitzsche]

oder einfach "nur" bazillion Standardaufrufe?

genau das und das finde ich heftiger als jeden Exploit z.B., den man ja normalerweise schon mit einem vorgeschalteten IDS filtern kann, normale Requests eben nicht. Automatismen für Sperren von Ranges gibt es so nicht, kannst aber schnell zusammenklicken per http://www.countryipblocks.net/ allerdings nicht per htaccess dann ausschließen, da knirrscht der Server auch wieder, das muß dann direkt ins Regelwerk der Firewall.

Rüdiger

[Richard.Laing]

hi jan
hab ich installiert und klappt bestens.

jetzt bekomme ich minütlich mails mit angrifsmeldungen...

217789589.1288630799.2.2.utmcsr=forum.redaxo.de|utmccn=(referral)|utmcmd=referral|utmcct=/ftopic14431.html
/files/addons/be_style/plugins/jquery_ui/sample-style/jquery-ui-1.8.4.custom.css
xss, csrf, id, rfe, lfi
11

was sagt mir das?
wird das aus dem forum drauf zugeriffen?
gruß richy

[jdlx]

217789589.1288630799.2.2.utmcsr=forum.redaxo.de|utmccn=(referral)|utmcmd=referral|utmcct=/ftopic14431.html
/files/addons/be_style/plugins/jquery_ui/sample-style/jquery-ui-1.8.4.custom.css
xss, csrf, id, rfe, lfi
11

was sagt mir das?

Google sagt google analytics.. ;)

wird das aus dem forum drauf zugeriffen?

Ja, das ist halt der referrer.. dunno was du da laufen hast, mussu rauskriegen und excluden. ;)

lg,
j.

[DaniH]

Super Plugin, habe es schon bei 2 Projekten laufen.

Leider bekomme ich aber auf einem Managed Server von 1&1 eine Fehlermeldung:

Code: Alles auswählen

An error occured: PDOException: SQLSTATE[HY000] [2005] Unknown MySQL server host 'localhost:/tmp/mysql5.sock' (1) 

Bei dem Server verbindet er mir nur in MySQL5 über diesen unix_sock.

In welcher Datei muß ich die Verbindungsdaten anpassen?

[jdlx]

Code: Alles auswählen

An error occured: PDOException: SQLSTATE[HY000] [2005] Unknown MySQL server host 'localhost:/tmp/mysql5.sock' (1) 

Bei dem Server verbindet er mir nur in MySQL5 über diesen unix_sock.

Ehrlich gesagt sagt mir das grad garnix..

In welcher Datei muß ich die Verbindungsdaten anpassen?

Die Parameter für die DB Verbindung werden in der config.inc. um Zeile 160ff. gesetzt.

hth,
Jan

[Cobalt60]

Hallo,

habe gerade mal v1.4.159 auf REX 4.3.3 getestet ... bei der Installation meckert der Installer an, daß die PHP-Version größer 5.1.6 sein muß - installiert ist aber 5.3.3 .

Nach kleinem Hack in der Installroutine funktioniert's dann.

Gruß

[jdlx]

.. daß die PHP-Version größer 5.1.6 sein muß - installiert ist aber 5.3.3 :-).

Yup, das war buggy, hatte Gregor schon angemerkt.. hab den fix jetzt drin.

[cukabeka]

Ich habe das Addon im Einsatz, aber ich bekomme immer nur eine Meldung per Mail - im Protokoll steht aber nie etwas, auch nicht wenn ich den Test-Exploit mit impact ∑ = 72 mache.

Woran kann das liegen?

[jdlx]

.. im Protokoll steht aber nie etwas,

Du meinst das DB Protokoll?
Welche Version hast du, und von wo?

[cukabeka]

Oben im Addon steht "PHPIDS 0.4.174"

Außerdem
REDAXO: 4.3.1
PHP: 5.2.17
MySQL: 5.0.91

Genau, das Protokoll meine ich.

[jdlx]

Hab ich grad keine Erklärung für.. hier läufts. Hast du schon mal das Addon reinstalliert?

[jdlx]

Hast du evtl. n andere table-Prefix als rex_ ? Dann könnts sein..

[jdlx]

Hol dir mal die aktuelle master und probier se aus: https://github.com/jdlx/rex_phpids/zipball/master

[cukabeka]

oh, ja. jetzt funktionierts. danke!

tableprefix hab ich übrigens nicht anders.

[cukabeka]

Kann man übrigens den Impact einstellen, ab dem der Blocker greift? Oder ist das der eMail-Impact? Und mir ist aufgefallen, dass ich, seitdem ich auf der Seite Piwik (JS) laufen habe, dauernd Intrusions gemeldet werden. Woran kann das denn liegen?

[jdlx]

Kann man übrigens den Impact einstellen, ab dem der Blocker greift?

Nicht direkt.. der blocker hängt sich an den EP PHPIDS_INTRUSION_LOGGED .. sprich blockt sobald deine Einstellungen so sind, daß ein event in die DB geschrieben wird. Wenn du das unabhängig machen wolltest, dann müßtest du im blocker nochmal auf den impact filtern.. der steht im IDS_event:
https://github.com/jdlx/rex_phpids/blob ... nc.php#L43

Und mir ist aufgefallen, dass ich, seitdem ich auf der Seite Piwik (JS) laufen habe, dauernd Intrusions gemeldet werden. Woran kann das denn liegen?

Daran das deine whitelist nicht korrekt konfiguriert ist ;)

https://www.google.de/search?q=phpids+piwik

[cukabeka]

aha, danke!

ich habe jetzt also bei exception nach etwas google folgendes eingetragen:

COOKIE./.*_pk_ref.*/i

das scheint soweit ganz gut zu funktionieren.