Brauche Dringend Hilfe

[derSteffen]

Hallo,

also ich muss auch sagen, dass das alles sehr beängstigend ist. Unsereiner hat leider keine großartigen Erfahrungen von Serveradministration, .htaccesses oder PHP, weiß nicht welche Ordner mit welchen CHMOD-Rechten 777 laufen müssen und welche nicht, bzw. welche müssen nur während der Installation auf 777 gestellt sein.

Deswegen wäre so ein Topic: "Contenido selber sicherer machen" nicht verkehrt. Welche die angesprochenen Themen näher aufschlüsselt.

Ich meine, ich kann ja nicht jedesmal ein CMS-Update machen. es gibt ja bestimmt von euch die haben ein paar mehr Kunden, und jedesmal ein "running System" anzufassen, mit der Gefahr das es alles gar nicht so einfach - geht diese Upgrade, muss man ja auch bedenken.

So ein Topic ist natürlich auch echt schwer einfach zuhalten. Ich meine man könnte da auch Module aufzählen, welche für Angriffe anfällig sind, aber das liegt ja nun auch immer teilweise an den Provider.

Ich, in meinem unerfahrenen Leichtsinn, verwende nur Modrewrite-Versionen, mit der Hoffnung das man meine Seiten nicht mit "front_content" ergoogelt. aber ich denke mal das gibt es ganz andere "Stichworte".

Was ich auch nicht machen würde, was leider dem Super-Contenido und der 4fB schaden würde, ich würde meine Seite hier (Ob im Forum oder auf der contenido.org) nicht als Referenz angeben. Denn so haben es die Hacker ja noch einfacher Contenido-Seiten zu finde.

Also ich arbeit sehr gern mit Contenido und die Community hier ist ja nun wirklich mal unschlagbar.

MfG Steffen

[derSteffen]

@ woldini

2 Fragen zu deinem URL-Injection-Schutz.

Meinst du mit

//* hier bitte den konkreten Serverpfad für das Log-Verzeichnis eintragen
$log = 'verzeichnis/unterverzeichnis/logs/_attack.log';

vom SERVER["DOCUMENT_ROOT"] ausgehend? Also so z.B. /www/htdocs/w0000001/logs/_attack.log?

Und muss auf die Datei attackmsg.php besondere Chmod-Rechte gesetzt werden?

Muss man eine _attack.log erstellen oder wird die dann im Fall automatisch erstellt?

Vielen Dank

[kummer]

@ Kummer: Wenn Du oder einer der Supermods in Kürze die Zeit dazu haben, wäre es sinnig wenn Ihr zur Absicherung mittels .htaccess einen Thread in diesem Topic aufmacht, fett markiert und genau schildert wie man es umsetzt.

ich glaube, es ist zeit an dieser stelle tacheles zu reden: ich kümmere mich gerne darum. allerdings habe ich derzeit sehr viel um die ohren, und werde mich dieses jahr sicher nicht mehr darum kümmern können. und: soweit ich das abschätzen kann, gibt es kein ständiges entwicklerteam mehr, dass sich um diese fragen würde kümmern können.

will heissen: es ist an der zeit, dass sich die community um contenido kümmert. wenn wir wollen, dass es contenido in zukunft noch gibt, müssen sich diejenigen, die an der weiterentwicklung interesse haben zusammensetzen und beschliessen, was gemacht werden muss. man muss schauen, wie man das ganze finanzieren kann und wer bereit wäre, aktiv mitzuarbeiten.

im forum mehren sich die stimmen, die laut und lauter dinge fordern und es scheint niemand mehr zu geben, der das hört. ausser die community selber. wir müssen uns halt besser organisieren.

ich weiss, das ist off topic. aber es wäre aus meiner sicht an der zeit, diese frage zu diskutieren und dann kommen wir auch in bezug auf die sicherheit weiter. das wäre nämlich eines der ersten themen, die angegangen werden müssen.

[derSteffen]

Mhm, na das ist doch mal eine Aussage.

Viele von uns können natürlich nicht so gut programmieren oder gar nicht
Einige sind wahrscheinlich auch nicht bereit dafür zu zahlen. Ich denke das jeder bei seinem nächsten Contenido-Kunden für Design & Anpassungen vielleicht ein paar Euro mehr berechnen sollte, dass man wirklich für solch Schwerwiegende Sachen dieses Geld in eine Art Contenido-Fond steckt (vielleicht kann man das auch als Spende abrechnen).

Ich meine wir reden ja hier nicht um individuelle Module, sondern das betrifft uns ja alle.

Aber das wiederum alles zu organisieren ist ja auch nicht einfach.

Ich verstehe jedenfalls alle Contenido-Anwender und die natürlich die Contenido-Etwickler.

Okay, dieser Beitrag spiegelt eigentlich nur meine Meinung und hat hier vielleicht gar nichts zu suchen.

Steffen

[kummer]

also das war von mir auch keine 'offizielle' ansage. ich bin kein offizieller entwickler von contenido.

Aber das wiederum alles zu organisieren ist ja auch nicht einfach.

genau hier liegt eben das problem. das ist in der tat nicht einfach. aber einer alleine kann es nicht. viele zusammen schon. deshalb scheint auch nicht mehr viel zu laufen im moment. genau weil es eben nicht so einfach ist.

aber das muss ja nicht heissen, dass man es nicht anpacken soll.

[derSteffen]

Vielleicht kann man das automatisieren?

Ich könnte mir folgendes Vorstellen:

Wer ein Jahr im Forum angemeldet ist (wer nach einem Jahr aktiv ist) wird aufgefodert per PayPal zu spenden, ansonsten können keine Beiträge verfasst werden.

Ich finde das auch fair, weil wer schon über ein Jahr mit Contenido arbeitet wird ja auch damit erfolg haben.

Offen ist das Forum ja immer noch (wir heißen ja nicht XT:Commerce-Forum) und jeder kann lalle Beiträge auch lesen.

Natürlich gibt es die Möglichkeit sich nach einem Jahr einen neuen Account zu zulegen, aber das ist eine andere Geschicht. Und je mehr mitmachen umso kleiner wird ja auch der mögliche Betrag einer Spende.

Aber das muss natürlich auch wieder realisiert werden.

Ich zu meiner Person kann programmiertechnisch nicht weiterhelfen, ich bin auch keine Groß-Werbeagentur die im Jahr 10 Contenido-Kunden hat, bin aber trotzdem bereit zu spenden. Wobei hier natürlich wieder Organisation gefragt ist, Transparenz, Verwaltung etc.

Ist echt arg kompliziert.

Sind auch nur meine wirren Gedanken gerade.

[Contenider]

gibt es kein ständiges entwicklerteam mehr, dass sich um diese fragen würde kümmern können.

@ Kummer: Wie ist das zu verstehen? Soll das heissen, das 4FB im Prinzip nicht mehr existiert bzw. die Weiterentwicklung von Contenido insgeheim eigentlich nicht mehr fortführt?

Das würde natürlich erklären, weshalb sich HerrB in der Vergangenheit so stark für Contenido engagiert hat, abgesehen von allen anderen natürlich und ohne jeglichen Vorwurf.

Ich habe hierzu natürlich schon länger den Eindruck gehabt, dass 4FB sich seit geraumer Zeit abgekapselt hat.

Dieses Thema sollte offen diskutiert werden und vor allem müssen alle Beteiligten die über die Situation genau bescheid wissen, offen mit uns darüber sprechen - jedenfalls dann, wenn Contenido auch in Zukunft ein erfolgreiches OpenSource Projekt bleiben soll. Andernfalls tun wir gut daran alles hinzuwerfen zu eine andere Lösung für die Umsetzung eines CMS zu suchen - ich will nicht den Teufel an die Wand malen.

Natürlich gibt es die Möglichkeit sich nach einem Jahr einen neuen Account zu zulegen, aber das ist eine andere Geschicht. Und je mehr mitmachen umso kleiner wird ja auch der mögliche Betrag einer Spende.

@ derSteffen: Das wird nicht Dein Ernst sein? Contenido ist ein OpenSource Projekt, Zwangsspenden sind das allerletzte und würden Contenido, sollten sich meine Vermutungen bestätigen, den Todesstoss geben. Es gibt diverse andere Möglichkeiten das Problem auf der finanziellen Seite zu lösen.

Ich würde es begrüßen, wenn auch HerrB sich dazu einmal äussern würde, damit wir wissen wie es um Contenido steht. Darüber hinaus will ich aber auch einmal sagen, dass, auch wenn ich mit meinen Vermutungen über 4FB falsch liegen sollte, Contenido dass von der Entwicklerseite (4FB) her mit am schlechtesten supportete CMS ist das ich kenne. Soweit ich es richtig abschätzen kann, leistet die Community hier die Arbeit.

Mein Posting ist vielleicht wirklich etwas "OT" und es sollte in einem neuen Thread weiterdiskutiert werden, aber das sollte auch geschehen.

[kummer]

ich habe nichts dergleichen gesagt. ich weiss nicht, was 4fb vor hat. ich weiss nur, was wir alle erleben. und das ist kein vorwurf. es ist bloss etwas ruhig geworden und im forum ist mindestens niemand mehr aktiv, der sich als offizieller entwickler outen würde. ich vermute, dass das offizielle entwicklerteam nicht mehr aktiv ist. 4fb gibt es noch und scheint gesund zu sein. aber das für contenido eigentlich nicht gross von bedeutung. wichtig wäre eine weiterentwicklung. und die erlebe ich zurzeit nicht. und das schon seit geraumer zeit. wenn wir wollen, dass contenido weiter ein gutes produkt bleibt und nicht von allen anderen cms überholt werden wird, müssen wir als community aktiv werden und nicht darauf warten, dass es von anderer seite weiterentwickelt wird.

[holger.librenz_4fb]

Hmm, interessant wohin sich der Thread hier entwickelt.

Um es vorweg zu nehmen: 4fb gibt es sehr wohl noch und es gibt auch wieder aktiv Bewegung im Bezug auf die Contenido Entwicklung. Und das wird sich auch in nicht all zu ferner Zeit zeigen.

Grundsätzlich wäre natürlich eine größere Menge an aktiven Entwicklern wünschenswert - aber das hat eben auch wieder nicht nur Vorteile. Auch diesbezüglich gibt es Überlegungen innerhalb von 4fb.

Was ich allerdings absolut nicht verstehe, wie man an der Dauer der Forumszugehörigkeit evtl. (finanzielle) Erfolge festmachen will. Meiner Meinung nach ist auch Hilfe für andere Nutzer eine Art Spende. Wenn ich mir überlege was dodger77, HerrB, emergence, kummer.... hier an Zeit investieren um neuen und "alten" Usern zu helfen und das ohne einen Cent dafür zu bekommen ist das mehr als vergleichbar mit einer Spende deren Höhe sich sehen lassen kann. Außerdem gibt es viele Nutzer, die Contenido nicht für kommerzielle Zwecke einsetzen - Vereine oder Privatpersonen zum Beispiel. Daher ist - meiner Meinung nach zumindest - eine "Gebühr" fürs Posten vollkommen realitätsfern. Außerdem käme es - wieder meiner Meinung nach - fast einer Erpressung bzw. versteckter Support-Kosten gleich, für das Posten von Fragen und Antworten im offiziellen Forum zu einer OS Software Geld zu verlangen.

Just my two cents.
Holger

[woldini]

@derSteffen

zum URL-Injection-Schutz; -Antwort auf Deine Fragen:

1.

vom SERVER["DOCUMENT_ROOT"] ausgehend? Also so z.B. /www/htdocs/w0000001/logs/_attack.log?

mit dem Serverpfad meine ich vom obersten Pfad ausgehend, wo die front_content.php liegt (hiert sollte auch die .htaccess-Datei und die attackmsg.php liegen), jenen Pfad in dem Contenido liegt und seine Log-Dateien schreibt (ist ja bei jedem vielleicht ein bisschen anders), also z.B. c_m_s/contenido/logs/_attack.log

2.

Und muss auf die Datei attackmsg.php besondere Chmod-Rechte gesetzt werden?

Nein, weil die ja intern vom Server "behandelt" wird. Ich hab die PHP-Datei in einem Editor erstellt und per FTP auf das oberste Verzeichnis ("neben" die front_content.php) gespielt.

3.

Muss man eine _attack.log erstellen oder wird die dann im Fall automatisch erstellt?

Die _attack.log wird sobald, ein Angriff stattfindet, automatisch erstellt. Du kannst es ausprobieren, indem Du eine URL-Injection simulierst und als "fremde" Website z.B. Deine eigene Homepage einträgst. Hierzu gibst Du in die Adresszeile des Browsers Folgendes ein:

Code: Alles auswählen

http://www.zu-testende-adresse.de/front_content.php?cfg[path][includes]=http://www.deine_homepage.de/index.php?

(vergleiche die Mail des Providers am Anfang dieses Theats)
Anmerkung: mit "www.zu-testende-adresse.de" meine ich die Adresse der Website, die getestet werden soll, mit "www.deine_homepage.de/index.php" meine ich Deine oder eine sichere Website mit konkreter Datei, die in die zu testende Adresse geladen werden soll. Wichtig ist hierbei das Fragezeichen am Ende der Zeile. Du kannst probieren, was passiert bevor Du Contenido dicht gemacht hast und dann nachdem Du es dicht gemacht hast. Viel Spass!

@ Die Admins in diesem Forum

Einen Topic "Contenido selber sicher machen" oder einfach "Sicherheit" halte ich für sehr wichtig. Nachdem wir unsere Contenido-Installationen (insges. dicht gemacht haben, beobachte ich, dass sich diese Sicherheitslücke von Contenido, vor allem in den Versionen 4.4.x in der Hackerszene herumgesprochen haben muss. Die Zahl der Angriffe steigt - bis zu 20 pro Tag! - und es sind teilweise die gleichen IP-Adressen, die die unterschiedlichen Websites hacken wollen (leider über die Ripe-Datenbank meist nicht ermittelbar). Contenido steht massiv unter Feuer. Ich kann jedem nur empfehlen die wichtigsten Maßnahmen zu ergreifen, sich und seine Kunden gegen diese Atacken zu schützen. Ich bin gerne bereit alle Tipps, die ich dazu habe, in dem Topic zusammenfassend in einer "Gebrauchsanweisung" bereitzustellen. Mir geht es hier ja wie vielen Contenido-Nutzern: Ich kann nicht ohne Not meinen Kunden raten, wegen Sicherheitsproblemen auf ein anderes System umzusteigen. Ausserdem finde ich Contenido gut.

[kummer]

Um es vorweg zu nehmen: 4fb gibt es sehr wohl noch und es gibt auch wieder aktiv Bewegung im Bezug auf die Contenido Entwicklung. Und das wird sich auch in nicht all zu ferner Zeit zeigen.

Grundsätzlich wäre natürlich eine größere Menge an aktiven Entwicklern wünschenswert - aber das hat eben auch wieder nicht nur Vorteile. Auch diesbezüglich gibt es Überlegungen innerhalb von 4fb.

na dann plauder doch mal etwas aus dem nähkästchen! du scheinst ja mehr zu wissen. bist du bei 4fb beschäftigt?

[derSteffen]

@ woldini

Habe vielen Dank!

Dumme Frage: in meinem root-Ordner liegt keine front_content.php, diese befindet sich in meinem CMS-Ordner.

Also so:
root: .htaccess und attackmsg.php

Und meiner _attackmsg.php steht jetzt: $log = '/cms/logs/_attack.log';

also sprechen wir von dem Logs-Ordner vom Contenido-Ordner, nicht vom Logs-Ordner der Webseite?

Sorry ich muss jetzt so dumm fragen

Nachtrag:

Also folgende Pfadangabe funktioniert bei mir:

Code: Alles auswählen

$log = '/www/htdocs/00001/contenido/logs/_attack.log';

dabei liegt meine htaccess und die _attackmsg.php im root-Verzeichniss.

Tolles Ding @woldini wird alles chic protokolliert.

[holger.librenz_4fb]

@kummer:

Nun ja, ich oute mich gern als Entwickler von 4fb Leider kann ich aber momentan noch nicht viel dazu sagen. Nur das es eben wirklich wieder ordentlich Bewegung in der Contenido Entwicklung gibt.

Gruß, Holger

[derSteffen]

Zu meiner Anmerkung mit der PayPal-Aufforderung nach einem Jahr aktiver Nutzung möchte ich diese Aussage zurück ziehen!

Sorry, das mich viele mißverstanden haben.

Meine Idee war:
Das Forum wäre ja auch weiterhin offen für jeden. Und wer denkt nach 1 Jahr guter Beratung keinen kleinen Betrag zu entlohnen, hätte sich ja einen neuen account anlegen können.

Ich wollte damit auch nur sagen - ich kann das CMS nicht weiterbingen, außer mit Fragen, mit Testszenarien, mit selber Probieren und Versuchen und mit ein paar "stümperhaften" Modul(weiterentwicklungen) von mir in diesem Forum zu "glänzen". Bloß wenn man gerne mehr machen möchte hätte man die Chance auch zu PayPalen.

Mir ist schon klar was OpenSource bedeutet und ich habe bisher in fast 2,5 Jahren erst 5 CMS auf die Beine gestellt und davon 2 große Projekte für ein Verein realisiert (dafür habe ich auch kein Geld genommen und der Aufwand für beide Sachen war bestimmt ein halbes Jahr Arbeit).

Ist ja auch egal - wir sollten nur allerdings diese Thematik in einem eigenen Thread behandeln.

Wir wollten hier ja eigentlich Sicherheitsfragen klären.

[Contenider]

Ist ja auch egal - wir sollten nur allerdings diese Thematik in einem eigenen Thread behandeln.

Wir wollten hier ja eigentlich Sicherheitsfragen klären. :-)

Ich habe einen Thread eröffnet, siehe http://contenido.org/forum/viewtopic.php?t=18762.

Dort könnte man das Thema weiterbehandeln.