Sitemap gehackt - Contao Sicherheitslücke?

Meine Sitemap enthällt eine fremde Domain (bordguthaben.at) an Stelle der eigentlichen.

Die folgenden 4 System-Log Einträge sind im Contao-Backend sichbar.

Purged the temp folder
Purged the search cache
Generated sitemap "sitemap.xml"
Purged the expired double opt-in tokens

Ursprung Frontend
Kategorie CRON
Benutzer anon.


In den Server-Logfiles gibt es nur einen Zugriff zur entsprechenden Uhrzeit.

Access 46.166.190.142 200
HEAD / HTTP/1.0 https://uptime.com/bordguthaben.at Mozilla/5.0 (compatible; Uptimebot/1.0; +http://www.uptime.com/uptimebot) 854 SSL/TLS-Zugriff für Apache



Was mich wundert ist, dass es anonyme Frontend-Zugriffe sind.

Wie ist das möglich, ohne Login in das Backend?

Contao 4.7.6

Moin,
da ist alles in Ordnung. Der Daily CRON führt diese "Clean-Up" Skripte aus. Und der Daily CRON wird einfach angeworfen, wenn der erste Besucher die Seite aufruft.
Brauchst dir also kein Sorgen machen.

Zitat:

---

Zitat von cliffparnitzky

Moin,
da ist alles in Ordnung. Der Daily CRON führt diese "Clean-Up" Skripte aus. Und der Daily CRON wird einfach angeworfen, wenn der erste Besucher die Seite aufruft.
Brauchst dir also kein Sorgen machen.

---

Erst einmal danke für die Antwort.

Ich weiß nicht, ob das Problem richtig verstanden wurde.

Sorgen mache ich mir schon, wenn meine Sitemap plötzlich andere Daten enthält als sie sollte.

Wie kommt die fremde Domain in die Sitemap?

Wo ist den die fremde Domain in deiner Sitemap?

Es wurden gemäß Log folgenden Dinge getan:
- das Temp Dir geleert
- der Such Cache geleert
- die Datei "sitemap.xml" neu generiert
- die angelaufenen Double Opt-In Tokens gelöscht

Ausgelöst wurde alles, weil ein Bot deine Seite besucht hat. Hättest auch du sein können oder jmd. anderes, z.B. ein eingeloggtes Mitglied (wen das möglich wäre).

Die sitemap.xml wird per Job generiert, weil es bei großen Seitenbäumen zu aufwändig sein könnte, diesen Prozess beim Speichern einer Seite anzustoßen.

Wenn dir die Domain nicht gehört und dennoch auf deinen Webspace verweist, ist das vermutlich ein Fehler des Hostels. Du könntest in Contao in der Seitenstruktur eine Domain eintragen, sodass deine Seite nicht erscheint

Zitat:

---

Zitat von cliffparnitzky

Wo ist den die fremde Domain in deiner Sitemap?

Ausgelöst wurde alles, weil ein Bot deine Seite besucht hat. Hättest auch du sein können oder jmd. anderes, z.B. ein eingeloggtes Mitglied (wen das möglich wäre).

---

Sitemap vorher:

Code:

---

<urlset xmlns="http://www.sitemaps.org/schemas/sitemap/0.9" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.sitemaps.org/schemas/sitemap/0.9 http://www.sitemaps.org/schemas/sitemap/0.9/sitemap.xsd">
<url>
<loc>https://meinedomain.de/</loc>
</url>
<url>
<loc>https://meinedomain.de/kontakt</loc>
</url>
</urlset>

---

Sitemap nach Besuch des Bot:

Code:

---

<urlset xmlns="http://www.sitemaps.org/schemas/sitemap/0.9" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.sitemaps.org/schemas/sitemap/0.9 http://www.sitemaps.org/schemas/sitemap/0.9/sitemap.xsd">
<url>
<loc>https://bordguthaben.at/</loc>
</url>
<url>
<loc>https://bordguthaben.at/kontakt</loc>
</url>
</urlset>

---

Wenn ein Bot einfach mal eben die Sitemap ändern kann, finde ich das nicht so toll.

Der Bot macht das nicht, sondern Contao. Poste die richtige Domain.

Zitat:

---

Zitat von Spooky

Der Bot macht das nicht, sondern Contao. Poste die richtige Domain.

---

Vielen Dank Spooky!

Ein Ping-Test an die fremde Domain zeigt, dass sie die gleiche IP-Adresse wie meine Domain hat.

Zitat:

---

Zitat von bco

Wenn ein Bot einfach mal eben die Sitemap ändern kann, finde ich das nicht so toll.

---

Das macht nicht der Bot. Wenn die Seite keine festdefinierte Domain in den Seiteneinstellungen hat, dann wird die Domain genommen, mit der die Seite aufgerufen wird.

Wenn es möglich ist deine Seite mit einer anderen Domain aufzurufen, dann sind zwei Domains auf deinen Webspace geroutet. Das sollte auf der Ebene des Webhosters geregelt werden. Du kannst als schnelle Lösung auch in der Seiteneinstellung die Domain für deine Seite eintragen und dann wird dies nicht mehr vorkommen.

Ich wiederhole mich...

Zitat:

---

Zitat von webstar

Das macht nicht der Bot. Wenn die Seite keine festdefinierte Domain in den Seiteneinstellungen hat, dann wird die Domain genommen, mit der die Seite aufgerufen wird.

Wenn es möglich ist deine Seite mit einer anderen Domain aufzurufen, dann sind zwei Domains auf deinen Webspace geroutet. Das sollte auf der Ebene des Webhosters geregelt werden. Du kannst als schnelle Lösung auch in der Seiteneinstellung die Domain für deine Seite eintragen und dann wird dies nicht mehr vorkommen.

Ich wiederhole mich...

---

Entschuldigung! Vielen Dank für Eure Hilfe!

Wende dich diesbezüglich einfach an deinen Hoster ;)

Innerhalb von Contao kannst du diese "Übernahme" aber verhindern, in dem du deine Domain in deinem Webseiten Startpunkt einträgst.

Strato halt ... :D;):rolleyes:

Zitat:

---

Zitat von tab

Strato halt ... :D;):rolleyes:

---

So ein Verhalten ist mir allerdings wissentlich auch bei Strato noch nicht passiert. :eek:

Der Glückwunsch geht natürlich auch nur an Strato, wenn die fremde Domain auch ganz sicher nicht zu bco oder ggf zu seinem Kunden gehört. Denn dann kann man sich das freilich auch sehr einfach selbst so hinbiegen, wofür Strato dann nichts könnte. Ist eh schon einigermaßen komisch, weil beide Domains offenbar ins selbe Verzeichnis geleitet werden, was ja nicht unbedingt ein Allerweltsverzeichnis ist.

Wäre schon sehr interessant die richtige Domain zu kennen.

Zitat:

---

Zitat von mlweb

Wäre schon sehr interessant die richtige Domain zu kennen.

---

Du hättest die gepostete Domain aufrufen sollen, solange das Problem noch nicht behoben wurde. Daraus war die ursprüngliche Domain ersichtlich. ;-)
Ich überlasse es mal dem Thread-Start ob er die Domain preisgeben möchte.

Geht immer noch aus dem Aufruf der "falschen" Domain hervor, wenn man ein wenig sucht. ;)