Vandalismus oder ernstes Sicherheitsproblem?

**ivl1705** · 06.05.2013, 14:37

Hallo zusammen,

bei einer von mir betreuten Contao-Site bekam ich heute morgen die Meldung Backend nicht erreichbar, Frontend zeigt komische Zeichen an.

Schnell stellte sich heraus, dass die ./system/config/localconfig.php überschrieben war. Eine nähere Überprüfung der logfiles anhand des Änderungszeitpunktes der localconfig ergab, dass zum fraglichen Zeitpunkt der Server sowohl von einem marodierendem Script aus China als auch vom bingbot recht intensiv besucht wurde (je ca. 100 Requests/Minute).

Der bingbot versuchte dabei komplette Verzeichnisse ('?file=tl_files/pdf/…/&file=tl_files/pdf/…/&file=tl_files/pdf/…/&file=tl_files/pdf/…/&file=tl_files/pdf/…/&file=tl_files/pdf/…') abzugrasen. Eine dieser Verzeichnisabfragen hat sich dann in der $GLOBALS['TL_CONFIG']['websitePath'] eingenistet.

Das China-Script hat wahllos auf diverse Pfade allgemeiner (/admin/...) aber auch anwendungsspezifischer Verzeichnisse ('/wp-content/…',…), darunter auch '/contao/…' zugegriffen.

Ein Zugriff auf 'contao/install.txt' wurde mit einem Status-Code 300 beantwortet (Verfügbare Alternative 'contao/install.php')

Fragen hierzu:
1) War es eine Serverattacke oder ist hier nur eine Race-Condition aufgetreten?

2) Da im Livebetrieb die 'contao/install.php' nicht benötigt wird, habe ich diese vorsichtshalber in ein nicht öffentlich zugängliches Verzeichnis verschoben. Kann bei einer 300er Antwort trotzdem das PHP-Skript ausgeführt werden?

3) Hat jemand ähnliche Beobachtungen gemacht?

Zur Konfiguration:
PHP läuft in Version 5.2.17 als fastcgi auf einem apache2.2?

EDIT: das Wichtigste fast vergessen: CONTAO läuft in Version 2.9.5

Ansonsten sind Anregungen Ergänzungen jederzeit willkommen.

**andreasisaak** · 06.05.2013, 16:25

Contao aktualisieren. SOFORT.

**ivl1705** · 07.05.2013, 13:48

Zitat von leo.unglaub

Was Bing angeht siehe hier: https://github.com/contao/core/issues/5683

Vielen Dank! Der Querverweis hat mir einen Lösungsweg zu einem anderen Problem eröffnet, der mich bislang von einem Update abhielt.

**FloB** · 10.05.2013, 09:00

Zitat von ivl1705

Schnell stellte sich heraus, dass die ./system/config/localconfig.php überschrieben war. […]
Der bingbot versuchte dabei komplette Verzeichnisse ('?file=tl_files/pdf/…/&file=tl_files/pdf/…/&file=tl_files/pdf/…/&file=tl_files/pdf/…/&file=tl_files/pdf/…/&file=tl_files/pdf/…') abzugrasen. Eine dieser Verzeichnisabfragen hat sich dann in der $GLOBALS['TL_CONFIG']['websitePath'] eingenistet.

Was ist da genau passiert??

**Pathor** · 19.07.2013, 12:25

Wurde das eigentlich in Contao 2.11.11 gefixt?

**Pathor** · 19.07.2013, 13:25

Danke! Wo genau finde ich denn den Backport?

**ciaobello** · 19.07.2013, 13:30

Er ist wohl zu beschäftigt damit sinnlose änderungen an der 3.x vorzunehmen....

Man, hast Du wieder eine geschliffene Zunge heute

**MacKP** · 19.07.2013, 14:34

Ich hab das nur in einer 2.9.5 ich glaub das wird wenig bis gar nicht helfen ><

Viele Grüße

**ciaobello** · 19.07.2013, 14:38

Hier ist doch von 2.9.5 die rede....

Vielleicht hilft ja das hier:
http://www.contao.glen-langer.de/con...xss-patch.html

**Pathor** · 19.07.2013, 15:09

Zitat von MacKP

Ich hab das nur in einer 2.9.5 ich glaub das wird wenig bis gar nicht helfen ><

Viele Grüße

Die hatten wir vorher.

Ist der Bug denn in 3.1.1 noch drin? Oder in 3.0.6?

EDIT: Wir haben das Backup zurückgespielt und nun wieder 2.9.5 im Einsatz. Jetzt müsste der Backport wieder funktionieren.

**MacKP** · 19.07.2013, 15:55

Ist in der 2.9.5 ->
system/modules/frontend/ContentDownload.php und ContentDownloads.php

Zeile 124:

Code:

//						'href' => $this->Environment->request . (($GLOBALS['TL_CONFIG']['disableAlias'] || strpos($this->Environment->request, '?') !== false) ? '&amp;' : '?') . 'file=' . $this->urlEncode($file),

Da eben die // davor machen.

Leo meinte, das es für 2.11 auch so sein müsste...

Viele Grüße