Thread Verfasser: nekomancer
Thread ID: 1233
Thread Info
Es gibt 6 Beiträge zu diesem Thema, und es wurde 3467 Mal angesehen.
 Thema drucken
Auf der Suche nach 2 Dateien, die es im Downloadbereich geben soll
nekomancer
Liebes Forum,
ich hoffe, jemand hier kann mir helfen, auch wenn ich hier ein vielleicht skurrile Frage habe:

Gab es im Januar irgendwo im Downloadbereich oder sontwo auf der Webseite 2 Dateien, die ein Sicherheitsproblem lösen sollten? Und falls ja, kann mir mal einer den Link dazu geben? Ich finde nix, was dazu passen könnte und würde das einfach gern mal nachlesen, um was es sich dabei handeln sollte.

Hier noch - falls von Interesse - die stark gekürzte Vorgeschichte:
Ein Kunde, dessen Webseite ich seit kurzem betreue, bat mich um ein Update ein Update von PHP Fusion 07.02.05 bis auf 7.02.07. Während der Arbeit an der Seite erfuhr ich aber, dass
1. der Server ständig aus unbekannten Gründen offline ging
2. über die Webseite massenhaft SPAM E-Mails rausgeschickt wurden

Da lag also schon einiges im Argen... Das mit dem SPAM konnte gelöst werden und das Update habe ich auch durchgeführt. Nur blieb da das Problem mit dem ständig abstützenden Server. Eine Nachfrage beim Hoster ergab, dass wohl verschiedene Prozesse der Webseite nicht beendet werden, was dann dazu führt, dass nur noch ein Apache Neustart hilft.

Nach einigem Nachfragen beim Kunden konnte ich rauskitzeln, dass das Problem etwa seit Januar besteht und dass der Kunde im Januar wegen eines Sicherheitshinweises hier auf PHP Fusion Deutschland 2 Dateien auf den Server geladen hat, um dieses zu beheben.

Die "neuen" Dateien sind eine geänderte config.php und sowie contact.php Aber ich habe leider keine weiteren Infos dazu. Ich habe bei den bereit gestellten Downloads hier auf der Webseite gesucht und nichts gefunden, was dazu passen würde. Der Kunde ist sich aber 100%ig sicher, dass er einen Hinweis auf ein Sicherheitsproblem hier auf der Seite gelesen hätte und dass er sich darauf hin diese 2 Dateien herunter geladen und auf dem Server ausgetauscht hätte. Der Kunde ist sich auch 100% ig sicher, dass es sich dabei NIHCT um ein Update handelte. Mir kommt das alles spanisch vor. (Ob das nun der Grund für die unabgeschlossenen Prozesse ist, weiß ich auch nicht, aber es ist ein Hiweis, dem ich gern nachgehen würde).


Vielleicht kann mir ja jemand weiter helfen. Und im besten Fall finden sich die Dateien im Downloadbereich und ich war nur zu blind um sie zu finden.

Trotzdem vielen Dank an alle, die sich diesen ellenlangen Post angetan haben :-)
LG Maria
Information:
PHP Version: Nicht ausgewählt •  MySQL Version: Nicht ausgewählt •  PHP-Fusion: Nicht ausgewählt
 
Janilein
Die config.php? Er hat eine config.php heruntergeladen und auf seinem Webspace installiert? Und die Seite soll danach noch gelaufen sein? Wie soll das denn funktioniert haben? Die config.php ist zum anfang eine leere Datei in der erst bei der Installation von PHP-Fusion daten hineingeschrieben werden also die Datenbankdaten.
Im zweifelsfalle würde ich nach einem vorherigen Backup alle (System)Dateien löschen und durch die orignalen aus einem frischen Download ersetzen (nicht aber die config.php)

Die config.php muss etwa so aussehen:


<?php
// database settings
$db_host = "dbxxxxxxxx.db.1and1.com";
$db_user = "dboxxxxxx";
$db_pass = "xxxxxxxx";
$db_name = "dbxxxxxxx";
$db_prefix = "fusionxxxxxx_";
define("DB_PREFIX", "fusionxxxxx_");
define("COOKIE_PREFIX", "fusionxxxxxx_");
?>
Information:
PHP Version: Nicht ausgewählt •  MySQL Version: Nicht ausgewählt •  PHP-Fusion: Nicht ausgewählt
 
nekomancer
Hallo!
Oh, ja das hätte ich dazu schreiben sollen. Er hat die config.php soweit angepasst mit den Zugangsdaten für die Seite.
Die einzige Zeile, die (vermutlich?) nicht geändert wurde ist die für den Datenbankpräfix. dort stand nur ne Variable drin.
define("DB_PREFIX", $db_prefix);

Das scheint der Seite nichts getan zu haben.

Ich kann mir auch grundsätzlich nicht mehr vorstellen, warum hier im Downloadbereich überhaupt eine config.php und eine contact.php hätte bereit liegen sollen, die dann ein Sicherheitsproblem hätten lösen sollen ... Wer weiß, was er sich da heruntergeladen und ersetzt hat. Aber gerade deshalb bin ich ja auch der Suche nach einem möglichen Beitrag hier auf der Seite (wie gesagt vom Januar), der ihn dazu verlanlasst haben könnte, sich (irgendwelche?) Dateien herunterzuladen und dann bei sich auf der Seite auszutauschen. ich tappe komplett im Dunkeln ...
Information:
PHP Version: Nicht ausgewählt •  MySQL Version: Nicht ausgewählt •  PHP-Fusion: Nicht ausgewählt
 
John Doe
Die Sache mit config.php und contact.php ist aus verschiedenen Gründen glatter Unsinn.

Die config.php enthält ausschliesslich die Daten für die Datenbank, und zusätzlich einen Cookie-Präfix, nicht mehr und nicht weniger. Wo soll denn da ein "Sicherheitsproblem" entstehen?

Ausserdem ist auch die von dir gepostete Zeile in der config.php Unsinn:
define("DB_PREFIX", $db_prefix);

Das CMS bezieht den DB-Präfix (eine der Konstanten bei PHP-Fusion) aus der config.php und ruft diesen in den einzelnen DB-Abfragen über die Variable $db_prefix oder die Konstante DB_PREFIX auf. Spätestens hier würde es dann zu Fehlermeldungen im CMS kommen weil der Variablenwert nicht gesetzt wurde.

Ähnlich verhält es sich mit der contact.php.
Die Originaldatei enthält keinerlei (bekannte) Sicherheitslücken und ich wüsste auch nicht, was da geändert werden sollte um potenzielle Sicherheitslücken zu schliessen.

Was der Hoster erzählt ist im Übrigen ebenso Schwachsinn.
Ich hätte vielmehr alle Dateien auf dem Webspace mal auf Schadcode geprüft, ggf ein Datenbank Backup gemacht, eine frische PHP-Fusion 7.02.07 installiert und dann mal geschaut ob der in meinen Augen doch etwas "dubiose" Fehler weiterhin auftritt.

Bis ich einen Apache Webserver, der einigermassen anständig konfiguriert wurde, wegen eines Scripts wirklich NEU starten muss, muss schon EINIGES passieren. Also vergiss den Unsinn mit den nicht gestoppten Scripten und such mal nach Malware oder Schadcode (auch und vor Allem vor dem Hintergrund der Massen-Spams von denen du geschrieben hast).
Bearbeitet von John Doe am 13. März 2017 13:50:05
Dieses Mitglied wurde gelöscht!
Information:
PHP Version: Nicht ausgewählt •  MySQL Version: Nicht ausgewählt •  PHP-Fusion: Nicht ausgewählt
 
Krelli

Zitat

Ausserdem ist auch die von dir gepostete Zeile in der config.php Unsinn:
define("DB_PREFIX", $db_prefix);

Das CMS bezieht den DB-Präfix (eine der Konstanten bei PHP-Fusion) aus der config.php und ruft diesen in den einzelnen DB-Abfragen über die Variable $db_prefix oder die Konstante DB_PREFIX auf. Spätestens hier würde es dann zu Fehlermeldungen im CMS kommen weil der Variablenwert nicht gesetzt wurde.

Layzee leider muss ich dich korrigieren. Diese Schreibweise ist an dieser Stelle völlig korrekt und funktioniert auch.
Da die Variable $db_prefix in der Zeile davor bereits definiert wird kann man sich in der Folgezeile zum Festlegen der Konstanten DB_PREFIX direkt darauf beziehen.
Diese Schreibweise erspart es, den Datenbank-Prefix 2x eintragen zu müssen. Die Konstante DB_PREFIX wird in beiden Fällen mit dem gleichen Wert bestückt.
Schreibweise 1:

$db_prefix = "fusionxxxxxx_";
define("DB_PREFIX", "fusionxxxxx_");
Schreibweise 2:

$db_prefix = "fusionxxxxxx_";
define("DB_PREFIX", $db_prefix);
sind also beide richtig und führen zum gleichen Ergebnis:
Variable $db_prefix und Konstante DB_PREFIX sind identisch mit dem Wert "fusionxxxxx_" definiert.

Was die Sicherheitsbedenken hinsichtlich config.php und contact.php betrifft stimme ich dir voll und ganz zu: keine Schwachstellen bekannt.
Information:
PHP Version: 8.2.x •  MySQL Version: Nicht ausgewählt •  PHP-Fusion: IPv9-DE-MOD
 
nekomancer
Erstmal noch vielen Dank an alle, die sich Zeit genommen haben, meinen ellenlangen Text zu lesen!

Ich muss sagen, dass die Kommunikation mit dem Kunden einfach nicht richtig funktioniert. Ob es nun daran liegt, dass ich ihn nicht verstehe/nicht genug Ahnung habe oder ob er tatschlich einfach Quatsch erzählt, kann ich nicht wirklich enträtseln.

Ich vermute mittlerweile, dass er irgendwo etwas gelesen hat, sich dann wiederum etwas zusammengereimt hat. Daraufhin hat er die Dateien, die er für "unsicher" hielt, vom eigenen Server runter geladen hat um sie dann unverändert wieder hochzuladen... Und ich suche mich dumm und dämlich.

Sorry für die Aufregung und danke nochmal.
LG Maria
Information:
PHP Version: Nicht ausgewählt •  MySQL Version: Nicht ausgewählt •  PHP-Fusion: Nicht ausgewählt
 
Springe ins Forum: