Integrity Check: Unterschied zwischen den Versionen

Aus Contao Community Documentation

K (Feinheiten)
K (Schutz gegen Infektion)
Zeile 93: Zeile 93:
 
==Schutz gegen Infektion==
 
==Schutz gegen Infektion==
 
Nun, ein genereller Schutz ist wohl nicht möglich. Wenn die Infektion z.B. dadurch passierte, dass jemand an die FTP Daten kam, kann er alles was der Eingentümer auch kann. <br />
 
Nun, ein genereller Schutz ist wohl nicht möglich. Wenn die Infektion z.B. dadurch passierte, dass jemand an die FTP Daten kam, kann er alles was der Eingentümer auch kann. <br />
Es gibt aber eine Möglichkeit, dass der angehangene Code nicht zur Ausführung kommt. Ein Ticket dazu gibt es bereits auf GitHub, dieses wurde für Contao 3 akzeptiert. Hier mal kurz die Info für Contao 2.<br />
+
Es gibt aber eine Möglichkeit, dass der angehangene Code nicht zur Ausführung kommt. In Contao 3 wurde dies bereits auf ähnliche Art umgesetzt. Hier mal kurz die Info für Contao 2.<br />
Editiert die index.php und geht in die letzte Zeile der Methode "run", müsste die Zeile 269 sein. (2.11.5) Schreibt davor einfach ein exit; rein, oder fügt eine Zeile dafür ein. Hier mal ab Zeile 268 als Beispiel:
+
Editiert die index.php und geht in die letzte Zeile der Methode "run", müsste die Zeile 269 sein. (2.11.5) Schreibt davor einfach ein '''''exit;''''' rein, oder fügt eine Zeile dafür ein. Hier mal ab Zeile 268 als Beispiel:
 
<source lang="php">
 
<source lang="php">
 
         }
 
         }

Version vom 15. August 2012, 23:49 Uhr

Achtung.png Achtung: Anleitung hier ist für Version 0.2.0, die für Version 1.0.0 folgt in Kürze.


Integrity Check
Früherkennung von gehackten Contao Installationen mittels Integritäts Check einiger Dateien.


Erweiterungs-Übersicht
Name des Entwicklers Glen Langer (BugBuster)
Entwickler Webseite http://www.contao.glen-langer.de
Version der Erweiterung 0.2.0 rc1
Kompatibilität mit Contao Version ab 2.10.0
Link zum Extension Repository http://www.contao.org/de/extension-list/view/integrity_check.de.html
Den Entwickler unterstützen http://www.amazon.de/wishlist/26HHEJOU03G76
Link zum Tracker https://github.com/BugBuster1701/integrity_check/issues

Wie es dazu kommen kann, und das dabei in den meisten Fällen nicht Contao selbst schuldig ist, kann hier nachgelesen werden: Contao gehackt
Nun muss mal das natürlich noch selber merken, möglichst bevor Google die Seite sperrt.

Forum

Fragen zum Integrity Check Modul werden im Forum beantwortet: Forum
Fehler und Wünsche können im Tracking System gemeldet werden.

Installation

Installation erfolgt über das Extension Repository im Backend der Contao Installation.

Eine manuelle Installation ist möglich, dazu die ZIP Datei vom Extension Repository laden, entpacken und entsprechend übertragen.
Dadurch sollte ein Verzeichnis /system/modules/integrity_check angelegt worden sein.
Danach wie dabei üblich /contao/install.php aufrufen um ein eventuelles Update der Datenbank durchführen. (nur bei manueller Installation)

Installation als Update

Ein Update erfolgt identisch der Installation.

Infektionsbeispiel

Wie sieht nun eine solcher Hack aus?
Im den von mir betrachteten Fällen war es ein Anhang an die index.php der zur Ausführung kam, wenn die Seite nicht aus dem Server-Cache kam.
Dieser sah in etwa so aus (gekürzt):

#c3284d#
echo(gzinflate(base64_decode("ZZBNisMwDIX.......T7oD")));
#/c3284d#

Funktion des Moduls

In der jetzigen Version werden die drei wichtigsten PHP Files prüft auf Veränderungen.
Geprüft werden:

  • index.php
  • contao/index.php
  • contao/main.php

Prüfzeitpunkt

Dieser Test wird automatisch durchgeführt über den Contao-Cron Mechanismus.

Erkennung

Die Prüfung erfolgt identisch zum offiziellem Contao Check Tool, d.h. über MD5 Checksummen. Es werden die Checksummen für Contao ab 2.10.0 zum Vergleich herangezogen bis zur jeweils freigegebenen Contao Version.

Information

Im Backend kann unter System - System-Log nach dem Ergebnis geschaut werden. Normalerweise, wenn alles OK ist, taucht dort nur eine Meldung auf:

  • Integritäts-Überprüfung der Dateien abgeschlossen.

Wenn Veränderungen entdeckt werden, dann erfolgt eine entsprechende Meldung je Datei die es betrifft:

  • Integritäts-Status für Datei index.php ist: beschädigt

Eine Information per Mail ist möglich, siehe dazu den Punkt Feinheiten.

Feinheiten

Integritäts-Check anlegen

Beim Anlegen des Integritäts-Checks muss ein Überprüfungsplan definiert werden. Hier kann für jede der zu prüfenden Dateien der Zeitpunkt, die Erkennung und die Aktion eingestellt werden.
Anschließend noch die Integritäts-Überprüfung aktivieren.
Will man sehen welche Dateien geprüft wurden und somit ob überhaupt, kann der moduleigene Debug Modus eingeschaltet werden. Datei:Beispiel.jpg

Zeitpunkt

  • in Contao 2.10: täglich, wöchentlich, monatlich
  • in Contao 2.11: stündlich, täglich, wöchentlich, monatlich
  • in Contao 3.0*: minütlich, stündlich, täglich, wöchentlich, monatlich
*Contao 3.0 Version noch in Entwicklung


Erkennung

Derzeit ist die Erkennung einer Veränderung der Datei nur per MD5 Checksumme möglich. Es ist in einer späteren Version geplant, auch über einen Zeitstempel die Prüfung vorzunehmen.

Aktion

  • System-Log: Nachricht erfolgt im System-Log, im Backend einsehbar
  • Mail an Admin: eine Mail an den Admin der Contao Installtion erfolgt.

Hinweise

System-Log und Mail

Möchte man für eine Datei beide Arten der Information haben, legt man einfach im Plan die Überprüfung zweimal an mit je einem der Aktionen: Datei:Beispiel.jpg

Es kann nur einen geben!

Es ist möglich in der Integritäts-Check Übersicht mehrere Checks anzulegen. Das mach im Prinzip aber keinen Sinn. Daher wird dafür gesorgt, dass es nur einen Integritäts-Check geben kann, der aktiv geschaltet ist. Schaltet man einen neuen aktiv, werden automatisch alle anderen vorhandenen inaktiv geschaltet.

Schutz gegen Infektion

Nun, ein genereller Schutz ist wohl nicht möglich. Wenn die Infektion z.B. dadurch passierte, dass jemand an die FTP Daten kam, kann er alles was der Eingentümer auch kann.
Es gibt aber eine Möglichkeit, dass der angehangene Code nicht zur Ausführung kommt. In Contao 3 wurde dies bereits auf ähnliche Art umgesetzt. Hier mal kurz die Info für Contao 2.
Editiert die index.php und geht in die letzte Zeile der Methode "run", müsste die Zeile 269 sein. (2.11.5) Schreibt davor einfach ein exit; rein, oder fügt eine Zeile dafür ein. Hier mal ab Zeile 268 als Beispiel:

        }
    }

wird zu:

        }
        exit;
    }

Damit wird die Abarbeitung des Scripte beendet, was auch OK ist, da davor die Seite bereits zum Browser gesendet wurde. Achtung: Nun wird das Integrity Check Tool wie auch das Contao Check Tool eine Veränderung melden.


--BugBuster 21:44, 31. Jul. 2012 (CEST)

Ansichten
Meine Werkzeuge

Contao Community Documentation

noch 4 mal das Wort Abstraktion und ich beginne Zigaretten zu rauchen...

Martin Mildner
In anderen Sprachen
Navigation
Verstehen
Verwenden
Entwickeln
Verschiedenes
Werkzeuge