Newbie Joomla safe mode

Z

zurtsl

New Member
hallo

wie im Titel schon drinsteht bin ich in Sachen Server ein absoluter newbie und kenn mich leider nicht so aus

Root bei S4Y
Ubuntu mit ispconfig

nun zu meinen Problem:
auf den rootserver werden ausschließlich joomla Homepages gehostet und vor 2 Monaten war leider ein Hacker am werk der alle joomla Seiten beschädigt hatte. mein freund hatte dann bei allen accounts den safemode aktiviert damit so was nicht mehr passiert, blöd is halt jetzt das einige Seiten nicht mehr laufen da ja alles cms System den Safe mode off brauchen

würde gern ein neues System zulegen aber wie kann man das ganze so absichern das der Safe mode off bleiben kann?

Gruß
Simon
 
Hallo!
Safe Mode OFF ist grundsätzlich keine gute Idee. Sinnvoller wäre es da schon, die Applikation (Joomla) mit aktiviertem Safe Mode lauffähig zu machen. Eventuell hilft dir der Joomla SafeMode Patch ja weiter.

mfG
Thorsten
 
hi

das mit den safemodepatch kannte ich schon, ist aber nur für die älter joomla Version.

was ich so rausgelesen habe sollte die 1.5er ja einwandfrei laufen im Safe mode, tut’s aber nicht wirklich, da ist man schon richtig eingeschränkt.

genauso das selbe spiel mit anderen cms System ala typo3 usw. was ich so getestet hab.

mich würde das ganze interessieren wie das 1und1 usw. machen, da ist ja der safe mode auch auf off

Gruß
 
Du hast meine Frage nicht beantwortet!!!

Weißt du eigentlich was der Safe_mode macht, und wofür er da ist???
 
Das wichtigste ist ersmal das alle Joomla Updates immer reglmäßig eingespielt werden. Ausserdem würde ich das Adminpanel von Joomla mit ner .htaccess schützen. Genauso das Panel von deiner ispconfig.

Auf jedenfall register_globals = off.

Und aktiviere mod_rewrite da in der .htaccess von Joomla paar nützliche dinge drin stehen ;)

# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#


Wenn euer server gehackt wurde würde ich alles gründlich nach Backdoors absuchen. Bzw. neu installieren alles, alle Joomla neu druff und nur die DB's einspielen.
 
hallo ghost

die joomla seiten update ich immer wenn es ein update gibt dafür ! auch die seiten was noch in der 1.1.15er version sind wurden umgebaut auf 1.5er joomla.

der was den server gehackt hatte , hat ein loch in einen template gefunden und dann ein script oder so ausgeführt, danke den safe mode off konnte er auf die anderen dateien zugreiffen ( soweit ich das gepeillt hab von meinen admin)
 
Du hast es ja schon so schön gesagt:

danke den safe mode off konnte er auf die anderen dateien zugreiffen ( soweit ich das gepeillt hab von meinen admin)
Click to expand...

Wenn man sich zum safe_mode die Direktive von PHP durchliest (http://www.php.net/features.safe-mode)

Bei dir ist also anscheinend eine Seite angegriffen worden, und weil der safe_mode nicht an war, konnte der Angreifer auf andere vHosts auch zugreifen.

Da hilft nur eines:
- Joomla aktuell halten
- Nur vertrauenswürdige Templates und Extensions einspielen
- Die Direktive register_globals auf off stellen
- open_basedir sauber konfigurieren
- Sich überlegen, ob man den Apache mit suexec und fcgi betreibt, da man hier mit sauber gesetzten Rechten nicht mehr auf die anderen vHosts und deren Ordner zugreiffen kann.

In dem Link von oben steht ja drin, dass der safe_mode nur dazu dient, um die shared-Server Konfiguration sicherer zu machen. Ausserdem steht da auch drinnen, dass man das eigentlich nicht über PHP lösen sollte, sondern idem man seinen Server richtig konfiguriert.

Gruß Mordor
 
danke mordor

werd das ganze morgen meinen admin mal vortragen

meld mich morgen nochmal

schönen abend noch
 
Hi, wenn der Hacker erst mal auf dem rechner ist hilft dir der safemode nicht wirklich viel. Ich weiss aus der Praxis das aktuelle php shells ein haufen Funktionen haben.

hier ein paar beispiele.

:: Test bypass safe_mode with include function ::
:: Test bypass safe_mode with chdir()and ftok() (PHP <= 5.2.6) ::
:: ionCube extension safe_mode and disable_functions protections bypass (PHP <= 5.2.4) ::
:: Test bypass safe_mode with posix_access() (posix ext) (PHP <= 5.2.6) ::
:: Test bypass safe_mode with function mb_send_mail() (PHP <= 4.0-4.2.2, 5.x) ::
:: Test bypass safe_mode, view dir list via imap_list() (PHP <= 5.1.2) ::
:: Test bypass safe_mode, view file contest via imap_body() (PHP <= 5.1.2) ::
:: Test bypass open_basedir, view dir list via realpath() (PHP <= 5.2.4) ::
: Test bypass open_basedir, read *.zip file via [zip://] (PHP <= 5.2.1) ::
:: Test bypass open_basedir, read *.bzip file via [compress.bzip2://] (PHP <= 5.2.1) ::

Ausserdem gibt es ein haufen root exploits in einschlägigen Foren. Also am wichtigsten ist die Absicherung von aussen.

Und wie gesagt, wenn der Adminbereich durch ne .htaccess gesichert ist und register_globals = off kann nicht viel schief gehen.
 
Lade doch das PHP Binary als CGI.
So machts eigentlich jeder ISP, zwar etwas langsamer .. dafür kannst deinen Safemod eben ohne große Risiken auf off setzen.
 
morgen mordor

hab mal nachgefragt beim admin jetzt

suexec und fcgi sind installiert aber das ganze läuft nich unter ispconfig 2
anscheinend ! da hackts

anscheinend wird das bei der 3er version unterstützt, das problem ist das es kein migrationstool gibt von 2 auf 3 ! so müsste ich alles neu machen

grrrrrrrrrrrrrr
 
You must log in or register to reply here.
Back
Top