[ext404] Fehlermeldung deuten

**mv_alex** · 29.04.2010, 08:37

Hallo zusammen,

über die ext404 habe ich heute nacht eine E-Mail mit folgender Fehlermeldung erhalten, die mich ein wenig beunruhigt:

Die Seite http://www.domain.tld/plugins/editor...e=file&folder= wird von http://www.domain.tld/plugins/editor...e=file&folder= falsch verlinkt.

Die Meldung sieht für mich fast so aus, als wäre sie im Backend entstanden, aber zu der Zeit war kein Nutzer angemeldet. In den Logs erscheint für diesen Zeitpunkt nur ein fehlerhafter FE-Zugang von einem russischen Provider, was mich nicht unbedingt beruhigt.

Details: No active page for page ID "plugins", host "domain.tld" and languages ""

In meiner Piwik-Statistik taucht der Besuch gar nicht auf (auf die Server-Logs hab ich noch keinen Zugriff).

Wie kann ich das jetzt deuten - muss ich mir Sorgen machen?

Danke & Gruß
Alex

**b2m** · 01.05.2010, 11:05

Hi

soweit ich mich erinnere gab es einmal eine Sicherheitslücke im tinyBrowser über die Dateien auf den Webserver hochgeladen werden konnten.

In TYPOlight ist der tinyBrowser nicht integriert, aber es gibt eine "Erweiterung" dafür (http://https://contao.org/issues/1672). Ich habe jetzt nicht überprüft, ob diese "Erweiterung" anfällig für diese Sicherheitslücke ist.

In Piwik taucht dieser Aufruf nicht auf, da es momentan nur Aufrufe per Javascript trackt und der Aufruf vermutlich automatisiert von einem Bot o.Ä. ausgeführt wurde, der kein Javascript ausführt.

Gruß b2m

**mv_alex** · 03.05.2010, 10:49

Hi,

den Ordner gibt es natürlich nicht. Eine TinyBrowser-Extension verwende ich auch nicht.

Ist ja auch nicht ungewöhnlich, dass Bots nach Scripts bzw. deren Exploits "ins Blaue hinein" auf dem Server suchen. Ich kriege z.B. jede Woche etliche Zugriffe auf eine gar nicht vorhandene PHProjekt-Installation.

Was mich an dieser Fehlermeldung nur verunsichert hat, ist der Referrer. Es schaut ja so aus, als wäre der Fehler aus einem bestehenden Script heraus aufgerufen bzw. generiert worden.

Gruß Alex

**b2m** · 03.05.2010, 13:33

Hi

der Referer wird vom Browser bzw. dem Client gesetzt. Es ist also durchaus möglich, dass das Script einen Referer simuliert um eine Sicherheitsmaßnahme des Plugins zu umgehen oder in den Logfiles nicht aufzufallen.

Gruß b2m

**mv_alex** · 03.05.2010, 13:40

Hmmm. In diesem Fall schon fast wahrscheinlich, oder? Da es den Pfad nicht gibt, muss der Referrer ja eigentlich schon gefälscht sein.

Gruß Alex

**b2m** · 03.05.2010, 13:49

Hi

Zitat von mv_alex

Da es den Pfad nicht gibt, muss der Referrer ja eigentlich schon gefälscht sein.

[fantasytag]
Oder das Plugin wurde hochgeladen um verdeckt Operationen auf dem Server auszuführen und das ganze ist aufgeflogen, weil es gelöscht wurde bevor das böse Skript fertig war herumzuhacken... *rumspinn*
[/fantasytag]

Nein vielleicht hat da einfach jemand rumprobiert und dabei übersehen, dass das Plugin bei der Integration des tinyMCE in TYPOlight nicht dabei ist oder gehofft, dass es möglichst viele Leute von Hand nachinstalliert haben...

Gruß b2m

**mv_alex** · 03.05.2010, 14:00

Zitat von b2m

[fantasytag]
Oder das Plugin wurde hochgeladen um verdeckt Operationen auf dem Server auszuführen und das ganze ist aufgeflogen, weil es gelöscht wurde bevor das böse Skript fertig war herumzuhacken... *rumspinn*
[/fantasytag]

Da müsste ja schon jemand Schreibzugriff auf meinen Server gehabt haben - das will ich doch mal nicht hoffen!

Vermute / hoffe mal, dass es tatsächlich nur ein Schuss ins Blaue war.

Gruß Alex