Hallo zusammen,
bei einer von mir betreuten Contao-Site bekam ich heute morgen die Meldung Backend nicht erreichbar, Frontend zeigt komische Zeichen an.
Schnell stellte sich heraus, dass die ./system/config/localconfig.php überschrieben war. Eine nähere Überprüfung der logfiles anhand des Änderungszeitpunktes der localconfig ergab, dass zum fraglichen Zeitpunkt der Server sowohl von einem marodierendem Script aus China als auch vom bingbot recht intensiv besucht wurde (je ca. 100 Requests/Minute).
Der bingbot versuchte dabei komplette Verzeichnisse ('?file=tl_files/pdf/…/&file=tl_files/pdf/…/&file=tl_files/pdf/…/&file=tl_files/pdf/…/&file=tl_files/pdf/…/&file=tl_files/pdf/…') abzugrasen. Eine dieser Verzeichnisabfragen hat sich dann in der $GLOBALS['TL_CONFIG']['websitePath'] eingenistet.
Das China-Script hat wahllos auf diverse Pfade allgemeiner (/admin/...) aber auch anwendungsspezifischer Verzeichnisse ('/wp-content/…',…), darunter auch '/contao/…' zugegriffen.
Ein Zugriff auf 'contao/install.txt' wurde mit einem Status-Code 300 beantwortet (Verfügbare Alternative 'contao/install.php')
Fragen hierzu:
1) War es eine Serverattacke oder ist hier nur eine Race-Condition aufgetreten?
2) Da im Livebetrieb die 'contao/install.php' nicht benötigt wird, habe ich diese vorsichtshalber in ein nicht öffentlich zugängliches Verzeichnis verschoben. Kann bei einer 300er Antwort trotzdem das PHP-Skript ausgeführt werden?
3) Hat jemand ähnliche Beobachtungen gemacht?
Zur Konfiguration:
PHP läuft in Version 5.2.17 als fastcgi auf einem apache2.2?
EDIT: das Wichtigste fast vergessen: CONTAO läuft in Version 2.9.5
Ansonsten sind Anregungen Ergänzungen jederzeit willkommen.
Lesezeichen