Contao Konferenz & College 2019 in Duisburg - JETZT TICKET SICHERN!
Ergebnis 1 bis 17 von 17

Thema: Sitemap gehackt - Contao Sicherheitslücke?

  1. #1
    Contao-Nutzer
    Registriert seit
    14.06.2016.
    Beiträge
    25

    Fehler Sitemap gehackt - Contao Sicherheitslücke?

    Meine Sitemap enthällt eine fremde Domain (bordguthaben.at) an Stelle der eigentlichen.

    Die folgenden 4 System-Log Einträge sind im Contao-Backend sichbar.

    Purged the temp folder
    Purged the search cache
    Generated sitemap "sitemap.xml"
    Purged the expired double opt-in tokens

    Ursprung Frontend
    Kategorie CRON
    Benutzer anon.


    In den Server-Logfiles gibt es nur einen Zugriff zur entsprechenden Uhrzeit.

    Access 46.166.190.142 200
    HEAD / HTTP/1.0 https://uptime.com/bordguthaben.at Mozilla/5.0 (compatible; Uptimebot/1.0; +http://www.uptime.com/uptimebot) 854 SSL/TLS-Zugriff für Apache



    Was mich wundert ist, dass es anonyme Frontend-Zugriffe sind.

    Wie ist das möglich, ohne Login in das Backend?

    Contao 4.7.6

  2. #2
    Contao-Urgestein Avatar von cliffparnitzky
    Registriert seit
    08.10.2010.
    Ort
    Lüneburg
    Beiträge
    1.858
    User beschenken
    Wunschliste

    Standard

    Moin,
    da ist alles in Ordnung. Der Daily CRON führt diese "Clean-Up" Skripte aus. Und der Daily CRON wird einfach angeworfen, wenn der erste Besucher die Seite aufruft.
    Brauchst dir also kein Sorgen machen.
    Extensions :: Github :: Kein Support per PM.
    Bedenke stets: die Behebung eines Fehlers beginnt bei der Erklärung des Problems !!!
    Wenn ich dir helfen konnte freue ich mich immer über ein Dankeschön von meiner Amazon Wunschliste .

  3. #3
    Contao-Nutzer
    Registriert seit
    14.06.2016.
    Beiträge
    25

    Standard

    Zitat Zitat von cliffparnitzky Beitrag anzeigen
    Moin,
    da ist alles in Ordnung. Der Daily CRON führt diese "Clean-Up" Skripte aus. Und der Daily CRON wird einfach angeworfen, wenn der erste Besucher die Seite aufruft.
    Brauchst dir also kein Sorgen machen.
    Erst einmal danke für die Antwort.

    Ich weiß nicht, ob das Problem richtig verstanden wurde.

    Sorgen mache ich mir schon, wenn meine Sitemap plötzlich andere Daten enthält als sie sollte.

    Wie kommt die fremde Domain in die Sitemap?

  4. #4
    Contao-Urgestein Avatar von cliffparnitzky
    Registriert seit
    08.10.2010.
    Ort
    Lüneburg
    Beiträge
    1.858
    User beschenken
    Wunschliste

    Standard

    Wo ist den die fremde Domain in deiner Sitemap?

    Es wurden gemäß Log folgenden Dinge getan:
    - das Temp Dir geleert
    - der Such Cache geleert
    - die Datei "sitemap.xml" neu generiert
    - die angelaufenen Double Opt-In Tokens gelöscht

    Ausgelöst wurde alles, weil ein Bot deine Seite besucht hat. Hättest auch du sein können oder jmd. anderes, z.B. ein eingeloggtes Mitglied (wen das möglich wäre).

    Die sitemap.xml wird per Job generiert, weil es bei großen Seitenbäumen zu aufwändig sein könnte, diesen Prozess beim Speichern einer Seite anzustoßen.
    Extensions :: Github :: Kein Support per PM.
    Bedenke stets: die Behebung eines Fehlers beginnt bei der Erklärung des Problems !!!
    Wenn ich dir helfen konnte freue ich mich immer über ein Dankeschön von meiner Amazon Wunschliste .

  5. #5
    Contao-Urgestein
    Registriert seit
    29.10.2009.
    Beiträge
    1.790
    Partner-ID
    626
    User beschenken
    Wunschliste

    Standard

    Wenn dir die Domain nicht gehört und dennoch auf deinen Webspace verweist, ist das vermutlich ein Fehler des Hostels. Du könntest in Contao in der Seitenstruktur eine Domain eintragen, sodass deine Seite nicht erscheint

  6. #6
    Contao-Nutzer
    Registriert seit
    14.06.2016.
    Beiträge
    25

    Standard

    Zitat Zitat von cliffparnitzky Beitrag anzeigen

    Wo ist den die fremde Domain in deiner Sitemap?

    Ausgelöst wurde alles, weil ein Bot deine Seite besucht hat. Hättest auch du sein können oder jmd. anderes, z.B. ein eingeloggtes Mitglied (wen das möglich wäre).
    Sitemap vorher:
    Code:
    <urlset xmlns="http://www.sitemaps.org/schemas/sitemap/0.9" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.sitemaps.org/schemas/sitemap/0.9 http://www.sitemaps.org/schemas/sitemap/0.9/sitemap.xsd">
    <url>
    <loc>https://meinedomain.de/</loc>
    </url>
    <url>
    <loc>https://meinedomain.de/kontakt</loc>
    </url>
    </urlset>
    Sitemap nach Besuch des Bot:
    Code:
    <urlset xmlns="http://www.sitemaps.org/schemas/sitemap/0.9" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.sitemaps.org/schemas/sitemap/0.9 http://www.sitemaps.org/schemas/sitemap/0.9/sitemap.xsd">
    <url>
    <loc>https://bordguthaben.at/</loc>
    </url>
    <url>
    <loc>https://bordguthaben.at/kontakt</loc>
    </url>
    </urlset>
    Wenn ein Bot einfach mal eben die Sitemap ändern kann, finde ich das nicht so toll.

  7. #7
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Vienna, Austria
    Beiträge
    20.762
    User beschenken
    Wunschliste

    Standard

    Der Bot macht das nicht, sondern Contao. Poste die richtige Domain.

  8. #8
    Contao-Nutzer
    Registriert seit
    14.06.2016.
    Beiträge
    25

    Standard

    Zitat Zitat von Spooky Beitrag anzeigen
    Der Bot macht das nicht, sondern Contao. Poste die richtige Domain.
    Vielen Dank Spooky!

    Ein Ping-Test an die fremde Domain zeigt, dass sie die gleiche IP-Adresse wie meine Domain hat.

  9. #9
    Contao-Urgestein
    Registriert seit
    29.10.2009.
    Beiträge
    1.790
    Partner-ID
    626
    User beschenken
    Wunschliste

    Standard

    Zitat Zitat von bco Beitrag anzeigen
    Wenn ein Bot einfach mal eben die Sitemap ändern kann, finde ich das nicht so toll.
    Das macht nicht der Bot. Wenn die Seite keine festdefinierte Domain in den Seiteneinstellungen hat, dann wird die Domain genommen, mit der die Seite aufgerufen wird.

    Wenn es möglich ist deine Seite mit einer anderen Domain aufzurufen, dann sind zwei Domains auf deinen Webspace geroutet. Das sollte auf der Ebene des Webhosters geregelt werden. Du kannst als schnelle Lösung auch in der Seiteneinstellung die Domain für deine Seite eintragen und dann wird dies nicht mehr vorkommen.

    Ich wiederhole mich...

  10. #10
    Contao-Nutzer
    Registriert seit
    14.06.2016.
    Beiträge
    25

    Standard

    Zitat Zitat von webstar Beitrag anzeigen
    Das macht nicht der Bot. Wenn die Seite keine festdefinierte Domain in den Seiteneinstellungen hat, dann wird die Domain genommen, mit der die Seite aufgerufen wird.

    Wenn es möglich ist deine Seite mit einer anderen Domain aufzurufen, dann sind zwei Domains auf deinen Webspace geroutet. Das sollte auf der Ebene des Webhosters geregelt werden. Du kannst als schnelle Lösung auch in der Seiteneinstellung die Domain für deine Seite eintragen und dann wird dies nicht mehr vorkommen.

    Ich wiederhole mich...

    Entschuldigung! Vielen Dank für Eure Hilfe!

  11. #11
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Vienna, Austria
    Beiträge
    20.762
    User beschenken
    Wunschliste

    Standard

    Wende dich diesbezüglich einfach an deinen Hoster

    Innerhalb von Contao kannst du diese "Übernahme" aber verhindern, in dem du deine Domain in deinem Webseiten Startpunkt einträgst.
    Geändert von Spooky (25.06.2019 um 08:54 Uhr)

  12. #12
    Contao-Urgestein
    Registriert seit
    22.10.2013.
    Beiträge
    7.942
    User beschenken
    Wunschliste

    Standard

    Strato halt ...

  13. #13
    Contao-Urgestein Avatar von mlweb
    Registriert seit
    10.07.2011.
    Beiträge
    4.054
    Partner-ID
    7421

    Standard

    Zitat Zitat von tab Beitrag anzeigen
    Strato halt ...
    So ein Verhalten ist mir allerdings wissentlich auch bei Strato noch nicht passiert.
    Für Dinge die man mit html5 und css3 lösen kann, braucht man kein javascript.
    Immer dran denken: Contao-Check zum Testen der Servervoraussetzungen (Contao 2, Contao 3 und Contao 4) und zum Prüfen einer bestehenden Installation (bis Contao 3.5)

  14. #14
    Contao-Urgestein
    Registriert seit
    22.10.2013.
    Beiträge
    7.942
    User beschenken
    Wunschliste

    Standard

    Der Glückwunsch geht natürlich auch nur an Strato, wenn die fremde Domain auch ganz sicher nicht zu bco oder ggf zu seinem Kunden gehört. Denn dann kann man sich das freilich auch sehr einfach selbst so hinbiegen, wofür Strato dann nichts könnte. Ist eh schon einigermaßen komisch, weil beide Domains offenbar ins selbe Verzeichnis geleitet werden, was ja nicht unbedingt ein Allerweltsverzeichnis ist.

  15. #15
    Contao-Urgestein Avatar von mlweb
    Registriert seit
    10.07.2011.
    Beiträge
    4.054
    Partner-ID
    7421

    Standard

    Wäre schon sehr interessant die richtige Domain zu kennen.
    Für Dinge die man mit html5 und css3 lösen kann, braucht man kein javascript.
    Immer dran denken: Contao-Check zum Testen der Servervoraussetzungen (Contao 2, Contao 3 und Contao 4) und zum Prüfen einer bestehenden Installation (bis Contao 3.5)

  16. #16
    Contao-Urgestein
    Registriert seit
    29.10.2009.
    Beiträge
    1.790
    Partner-ID
    626
    User beschenken
    Wunschliste

    Standard

    Zitat Zitat von mlweb Beitrag anzeigen
    Wäre schon sehr interessant die richtige Domain zu kennen.
    Du hättest die gepostete Domain aufrufen sollen, solange das Problem noch nicht behoben wurde. Daraus war die ursprüngliche Domain ersichtlich. ;-)
    Ich überlasse es mal dem Thread-Start ob er die Domain preisgeben möchte.

  17. #17
    Contao-Urgestein
    Registriert seit
    22.10.2013.
    Beiträge
    7.942
    User beschenken
    Wunschliste

    Standard

    Geht immer noch aus dem Aufruf der "falschen" Domain hervor, wenn man ein wenig sucht.

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •