Page 1 of 1

Sicherheitsfragen bei Tool "GuardXT"

Posted: Tue Jun 23, 2009 8:35 pm
by micka
Hallo an Alle,

ich hoffe, ich bin hier im richtigen Forum gelandet. Ich erstelle gerade privat eine Webseite für eine Schule mit Joomla 1.5.11

Um die Sicherheit der Webseite zu überprüfen habe ich jetzt GuardXT installiert. Habe alle roten Punkte abgearbeitet bis auf folgende drei:

1. Initialdurchlauf noch nicht durchgeführt
Wenn ich dann auf "Jetzt Initialisieren!" klicke, kommt folgende Fehlermeldung:
22:08:15 Initializing database.
22:08:15: Initialize init run.

Warning: fopen(/www/htdocs/w0xxxxxxx/administrator/components/com_guardxt/assets/hashes/joomla_1.5.11.txt) [function.fopen]: failed to open stream: No such file or directory in /www/htdocs/w0xxxxxxx/libraries/joomla/filesystem/file.php on line 240

Notice: Undefined variable: tests in /www/htdocs/w0xxxxxxx/administrator/components/com_guardxt/models/files.php on line 346
22:08:15: Read filesystem.

Warning: is_dir() [function.is-dir]: open_basedir restriction in effect. File(/www/htdocs/w0xxxxxxx/..) is not within the allowed path(s): (/www/htdocs/w0xxxxxxx/:/tmp:/usr/bin:/www/htdocs/w0xxxxxxx:/bin:/usr/local/bin:/usr/share/php) in /www/htdocs/w0xxxxxxx/administrator/components/com_guardxt/utils.guardxt.php on line 68
22:08:18: Read database.
22:08:18: 7312 Files read.0 Files in database.
22:08:18: Done checking database. 7312 Files remaining.

Fatal error: Allowed memory size of 67108864 bytes exhausted (tried to allocate 9961472 bytes) in /www/htdocs/w0xxxxxxx/administrator/components/com_guardxt/utils.guardxt.php on line 39


2. Sicherheitsüberprüfung noch nicht durchgeführt
Wenn ich dann auf "Jetzt Initialisieren!" klicke, kommt folgende Fehlermeldung:
22:09:13: Initialize check run.

Warning: fopen(/www/htdocs/w0xxxxxxx/administrator/components/com_guardxt/assets/hashes/joomla_1.5.11.txt) [function.fopen]: failed to open stream: No such file or directory in /www/htdocs/w0xxxxxxx/libraries/joomla/filesystem/file.php on line 240

Notice: Undefined variable: tests in /www/htdocs/w0xxxxxxx/administrator/components/com_guardxt/models/files.php on line 346
22:09:13: Read filesystem.

Warning: is_dir() [function.is-dir]: open_basedir restriction in effect. File(/www/htdocs/w0xxxxxxx/..) is not within the allowed path(s): (/www/htdocs/w0xxxxxxx/:/tmp:/usr/bin:/www/htdocs/w0xxxxxxx:/bin:/usr/local/bin:/usr/share/php) in /www/htdocs/w0xxxxxxx/administrator/components/com_guardxt/utils.guardxt.php on line 68
22:09:16: Read database.
22:09:16: 7312 Files read.0 Files in database.
22:09:16: Done checking database. 7312 Files remaining.

Fatal error: Allowed memory size of 67108864 bytes exhausted (tried to allocate 10223616 bytes) in /www/htdocs/w0xxxxxxx/administrator/components/com_guardxt/utils.guardxt.php on line 39
Und als letztes habe ich einen roten Punkt bei "allow_url_fopen ist aktiviert." Aber da werde ich mal selber googlen.


Könnt ihr mir bitte helfen, was ich bei Punkt 1 und 2 für einen Fehler machen?

Infos (meine Seite/Webspace):
Joomla!-Version: Joomla! 1.5.11 Production/Stable
PHP-Version: 5.2.9-1nmm1
Webserver: Apache
Register-Globals: Aus
Deaktivierte Funktionen: exec,system,passthru,shell_exec,popen,escapeshellcmd,proc_open,proc_nice

Wenn ich wichtige Infos vergessen habe, bitte ich das zu entschuldigen. Fragt einfach danach.

Vielen Dank euch allen. Ich hoffe, ihr könnt mir helfen :'(


Grüße
Micka

Re: Sicherheitsfragen bei Tool "GuardXT"

Posted: Tue Jun 23, 2009 11:11 pm
by dietmarh
Du scheinst eine veraltete Version der Komponente zu haben, die die Hashes für 1.5.11 noch nicht hat. Sie sucht die Datei zwar, aber sie liegt nicht da, wo sie liegen sollte.

url_fopen solltest du aber auf jeden Fall vernageln (lassen), wenn du es nicht für einen ganz bestimmten Zweck brauchst und weißt, was du da tust. Das gehört mit register_globals zu den am häufigsten ausgenutzten Sicherheitslücken.

Re: Sicherheitsfragen bei Tool "GuardXT"

Posted: Wed Jun 24, 2009 6:00 am
by micka
Hallo dietmarh,

vielen Dank für deine Antwort! Dann werde ich mal sehen, das ich die neueste Version bekomme, bzw. meine ich auf der GuardXT Seite gesehen zu haben, das man da Hashes runterladen kann.


Zum Thema "url_fopen". Nun ist mir klar, wofür man das braucht. So wie es ausschaut werde ich mich aber dafür mit meinem Hoster (all-inkl) in Verbindung setzen müssen um das auszuschalten, da ich nicht an die php.ini drankomme und es über die .htacces nicht funktioniert hat. WENN ich das ausschalten lasse, bedeutet das, das ich solche Sachen wie den Wrapper und Iframes nicht mehr verwenden kann?

Die einzigen Fremdseiten, die ich per Iframe eingebunden habe, sind Google Kalender, einen Wetterdienst, eine Seite zum Vokabeln üben und eine Seite mit kleinen Online Spielen...

Funktioniert das dann also nicht mehr?

Vielen Dank dir!

Grüße
Micka

Re: Sicherheitsfragen bei Tool "GuardXT"

Posted: Wed Jun 24, 2009 8:54 am
by dietmarh
Der Wrapper ist ein iFrame, und ein iFrame ist nichts anderes als ein kleines, selbständiges Browserfenster innerhalb einer Webseite. Diese Anzeige ist davon also nicht betroffen.

url_fopen wird benötigt, um auf Dateien auf anderen Servern zuzugreifen, z.B. für Wetter- oder Börsendaten. Ein Angreifer kann es aber auch dazu benutzen, Scripte von seinem Server auf deinem Server auszuführen. Deshalb sollte man es nur erlauben, wenn man 120% sicher ist, daß kein einziges Script irgendwelche Parameter ungeprüft übernimmt.

Allerdings wird dann auch eWeather nicht mehr funktionieren, falls du so etwas angedacht haben solltest.

Re: Sicherheitsfragen bei Tool "GuardXT"

Posted: Wed Jun 24, 2009 12:32 pm
by micka
Dank dir für die Erklärung!!!
Dann könnte url_fopen bei mir eigentlich abgeschaltet werden. Mal sehen was all-inkl davon hält...

Zurück zu GuardXT. Habe jetzt die Hashes für 1.5.11 eingespielt. Sieht schon besser aus, allerdings kommt immer noch eine Fehlermeldung:
13:30:11 Initializing database.
13:30:11: Initialize init run.
13:30:11: Read filesystem.

Warning: is_dir() [function.is-dir]: open_basedir restriction in effect. File(/www/htdocs/woxxxxxxx/..) is not within the allowed path(s): (/www/htdocs/woxxxxxxx/:/tmp:/usr/bin:/www/htdocs/woxxxxxxx:/bin:/usr/local/bin:/usr/share/php) in /www/htdocs/woxxxxxxx/administrator/components/com_guardxt/utils.guardxt.php on line 68
13:30:14: Read database.
13:30:14: 7315 Files read.0 Files in database.
13:30:14: Done checking database. 7315 Files remaining.

Fatal error: Allowed memory size of 67108864 bytes exhausted (tried to allocate 9175040 bytes) in /www/htdocs/woxxxxxxx/administrator/components/com_guardxt/utils.guardxt.php on line 39
Kann es sein, das das etwas mit den Rechten zu tun hat? Unter Hilfe>Systeminfo>Verzeichnisrechte ist allerdings alles grün. Muß ich da temporär was auf 755 oder 777 stellen?


Grüße
Micka