.tpl Datein für externen Zugriff verriegeln?

**Grossvater** · 04.09.2013, 16:08

Hallo,
ich merke immer wieder,dass ich zu Contao wechseln muss. Immerwieder habe ich Altlasten (Joomla).
Hacker spionieren Passwörter aus und verändern durch einen externen Zugriff(via Editor) meine index.php Datein (liebend gerne bei Joomla).

Frage: Contao ist ja ein geschlossenes System. Alle Module werden ja intern bereitgestellt (*.tpl). Es gibt kein Externe-Datei-Override-Template-Gewusele wie bei Joomla.
Manche Hacker haben sich nur einen FTP-Zugang erschlichen und wollen einen ungestört einen Trojaner verbauen.

Bekommt Contao einen Zugriff von aussen auf die *.tpl Datein mit und reagiert entsprechend?

Wenn nein:
gibt es eine Erweiterung dafür?

**fiedsch** · 04.09.2013, 19:14

Zitat von Grossvater

Manche Hacker haben sich nur einen FTP-Zugang erschlichen und wollen einen ungestört einen Trojaner verbauen.

Bekommt Contao einen Zugriff von aussen auf die *.tpl Datein mit und reagiert entsprechend?

Wenn ein Hacker die FTP Zugangsdaten hat, dann ist das technisch gesehen kein "Zugriff von aussen" mehr! Wie soll ein Sytstem denn erkennen, ob Du mit diesen Zugangsdaten kommst, oder ein Hacker?

**Grossvater** · 05.09.2013, 08:40

Na ganz einfach. Ich verändere die Datein ja intern vom Contao aus(also über HTTP).
Der Hacker dageben von aussen via FTP.

**lindesbs** · 05.09.2013, 09:07

Ich denke, Du solltest erstmal das Grundlegende Problem der Sicherheit angehen. FTP Passwoerter aendern, alle Webspaces nach Backdoors absuchen.

Du kannst nicht von einem CMS erwarten, das es Sicherheit beitet, wenn du als Anbieter/Betreiber keine Sicherheiten bietest.

**Grossvater** · 05.09.2013, 10:25

also heisst das, dass Contao soetwas nicht kann?

**lindesbs** · 05.09.2013, 10:31

Das kann kein System. Wenn jemand Unbefugtes FTP Zugriff hat, kann der machen, was er will.
Da kann kein System etwas dagegen machen .

***Nina*** · 05.09.2013, 10:36

Ich kann da lindesbs nur zustimmen. Du hast doch ein entscheidendes Problem, wenn Leute überhaupt auf diese Art Zugriff auf den Webspace bekommen. Darüber solltest du dir Gedanken machen.

Oder anders ausgedrückt*:

"Ein Einbrecher hat meine Wohnungsschlüssel, und räumt jeden Tag meinen Kühlschrank leer. Das muss der Kühlschrank doch verhindern!"

* O-Ton des klugen Mannes vom Beitrag über mir

**Flex** · 05.09.2013, 10:37

Theoretisch könnte man sich einen Prüfsummencheck für JEDE Datei in Contao anlegen und dann prüfen ob sie verändert wurde...

Ein Startpunkt dafür wäre die Erweiterung integrity_check von BugBuster... Aber ich vermute das könnte etwas rechenaufwändig sein und man müsste sehr viel Handarbeit leisten um selbst angepasste Templates auch wieder zu prüfen, usw.

Aber wie die anderen schon sagten, ist das kein Schutz gegen externe Zugriffe per FTP...

Selbst die o.g. Prüfung kann einfach so umgangen werden, dass man per htaccess Dateien anhängt o. ä... Wenn Zugriff drauf vorhanden ist, ist das System kompromittiert.

**Drive** · 05.09.2013, 10:42

Wie wär`s einfach mal mit FTP Passwort ändern?

**Grossvater** · 05.09.2013, 10:46

Zitat von Flex

Theoretisch könnte man sich einen Prüfsummencheck für JEDE Datei in Contao anlegen und dann prüfen ob sie verändert wurde...

Ein Startpunkt dafür wäre die Erweiterung integrity_check von BugBuster... Aber ich vermute das könnte etwas rechenaufwändig sein und man müsste sehr viel Handarbeit leisten um selbst angepasste Templates auch wieder zu prüfen, usw.

Aber wie die anderen schon sagten, ist das kein Schutz gegen externe Zugriffe per FTP...

Selbst die o.g. Prüfung kann einfach so umgangen werden, dass man per htaccess Dateien anhängt o. ä... Wenn Zugriff drauf vorhanden ist, ist das System kompromittiert.

Genau danach habe ich gesucht. Danke! Vom Prinzip richtig.
Ich glaube wir haben ein Verständnissproblem gehabt: 'mit Schutz gegen externe Zugriffe per FTP' habe ich natürlich nicht den unbefugten Zugriffsschutz über FTP gemeint. Sondern, dass die Seite meldet das hier jemand herumgewurstelt hat.

***lucina*** · 05.09.2013, 11:11

Und dann zertifikatsbasiert arbeiten ... ;-)

**Grossvater** · 05.09.2013, 11:35

Feature request...

Bin ich dafür

***lucina*** · 05.09.2013, 11:57

Nein. Was für ein Gereffel, über alle Dateien ständig einen Check drüberlaufen zu lassen. Absolut dagegen.

Wofür ich bin: dass Menschen ihre Server anständig bedienen und absichern. Dass Menschen verstehen, dass Passwörter geklaut werden können und - so man nicht auf sie aufpasst - dann auch missbraucht werden. Dass sich herumspricht, dass zertifikatsbasierte Sicherheit genauso essentiell wie die Benutzung der richtigen Software ist.

Nachsatz: Wenn ich auf eine Maschine per FTP draufkomme, dann kann ich auch einen Integritätscheck manipulieren.

Leute, nutzt kein FTP-Programm, dass Passwörter im Klartext ablegt. Verschlüsselt bis der Arzt kommt. Seid paranoid - aber versucht nicht, die Probleme auf das CMS der Wahl abzuschieben. Das Problem sitzt meistens zwischen Tastatur und Stuhllehne.

***leo*** · 05.09.2013, 19:52

Die Lösung heißt übrigens "Intrusion Detection System" (IDS). Je nach Art und Umfang ist dort auch ein Tool wie z.B. Tripwire integriert, das automatisch anhand von Checksummen Änderungen in Dateien zu erkennen versucht.

Ist allerdings auch wieder etwas, das das die Wohnung bieten muss und nicht der Kühlschrank machen kann

***lucina*** · 06.09.2013, 08:04

... und etwas, das man gemeinhin in Mietwohnungen eher selten antrifft. ;-)

**Grossvater** · 28.11.2013, 12:10

sowas gibts schon...
http://www.contao.glen-langer.de/integrity_check.html

**Flex** · 28.11.2013, 18:35

Nein.
Der Integrity Check prüft einfach nur 4 Kerndateien einer Contao Installation, wie in der Beschreibung ja schon steht, genau wie der Contao Check.