Zum Inhalt wechseln

C.Vogler

C.Vogler

Registriert seit 19 Jun 2012
Offline Zuletzt aktiv: Jun 25 2012 08:41
-----

[Artikel] Schützen Sie Ihre TYPO3 Website vor Angriffen - Teil II

09 Juli 2012 - 02:27

Lesen Sie mehr über die Grundlagen der Sicherheit im 1. Teil dieser Artikelserie.

Was tun, wenn Sie Opfer einer DoS-Attacke wurden?
Trotz vielen Vorabmaßnahmen und Vorbereitungen ist es manchmal doch nicht 100% ausgeschlossen, dass Sie Ziel eines Angriffs werden. Der häufigste Angriff ist eine DoS-Attacke (Denial of Service).Hier wird eine Überlastung des Servers durch zu viele, gleichzeitige Anfragen erzeugt. Um darauf zu reagieren, öffnen Sie das Zugriffsprotokoll (Log-File) und suchen sich die IP-Adresse der "Angreifer" heraus. Diese könnten Sie dann einzeln in der .htaccess-Datei  Ihrer Website mit dem Befehl blockieren:


Deny from 100.1.10.001 192.156.2.23


Sollten Sie einen eigenen Server administrieren, können Sie diese Zugriffe auch mittels Firewall blockieren.

Eingefügtes BildWas tun, wenn Ihre Website manipuliert wurde?
Falls Ihre Homepage nun immer mehr bei Suchergebnissen von dubiosen Medikamenten oder ähnlichem gefunden wird, gibt es auch vier einfache Schritte um dies wieder gerade zu rücken.

1. Schritt: Erkennen Sie den Angriff
Im Falle der Manipulation durch das Setzen von Links auf Ihre Seite, sollten Sie Ihr Glück in den Log-Files suchen. Bis der Angreifer die URL erfolgreich gesetzt hat, vergehen meist ein paar Versuche die als Fehler geloggt werden. Bei der Wahl einer Software oder eines Online Dienstes zu Überwachung Ihrer Website, werden Sie natürlich schneller auf Fehler hingewiesen, als bei manuellen periodischen Checks. Ein weiter Hinweis kann eine Veränderung der Anwendungen auf der Website sein. Falls Ihnen das Webprogramm komisch vorkommt, sollten Sie unbedingt prüfen woran es liegt.

2. Schritt: Wartungsmodus
Sollten Sie einen Hackerangriff ausgemacht haben, sollten Sie das Webprojekt so schnell wie möglich offline oder in den Wartungsmodus setzen. Falls Sie den Webserver zu Ihrer Homepage nicht selbst betreuen, empfiehlt sich das Umleiten auf eine Wartungsseite und das Sperren von Besuchern über die .htaccess-Datei:

# Zugriff nur von der IP-Adresse 10.10.10.10

Order deny,allow

Deny from all

Allow from 10.10.10.10


3. Schritt: Analyse
Erst nachdem die Website offline ist, sollten Sie mit der Analyse beginnen. Hier ist es nie verkehrt die kompletten Dateien per Anti-Virenprogramm zu scannen. Danach steht das Auswerten der Logs (kurz für Log-Files) an und die Analyse, welches "Schlupfloch" der Angreifer genutzt haben könnte. Dies kann an den unterschiedlichsten Stellen geschehen sein - zum Beispiel: Zugriff auf den Webspace via FTP durch ein unsicheres Passwort oder auch durch eine Sicherheitslücke in einer TYPO3 Extension. Sollten Sie auf dem Gebiet nicht so bewandert sein, würde ich Ihnen raten die Analyse an Dritte weiterzugeben und dies genau und sorgfältig prüfen zu lassen. Es bringt Ihnen nichts, wenn Sie die Seite wieder online nehmen und der Angreifer mit Hilfe derselben Lücke erneut zuschlagen kann.

4. Schritt: Reinigung
Sobald Sie den Fehler oder den Schadcode gefunden haben geht es darum diesen zu bereinigen. Vergleichen Sie hier auch die Backup Dateien, vielleicht können Sie sich durch das Einspielen des Backups und das Schließen der Sicherheitslücke, viel Zeit und Geld sparen. Sollte das Backup nicht weiterhelfen, würde ich es auch zu Experten geben, die Ihre Daten komplett scannen und bereinigen können.

Weitere Informationen zu diesem Thema finden Sie im TYPO3 Security Cookbook.

Click here to view the Artikel

[Artikel] Schützen Sie Ihre TYPO3 Website vor Angriffen - Teil I

06 Juli 2012 - 11:13

Das Ziel eines Hackerangriffes sind nicht immer die Firmenwebsites von großen Unternehmen. Gerade eine "kleinere" Web-Präsenz ist für einen Hacker ein einfaches Ziel. Hier muss es nicht einmal ein Webshop mit Kundendaten sein, selbst Homepages von Vereinen werden vermehrt angegriffen. Deshalb sollten Sie den ersten Schritt machen und etwas Zeit in den Schutz vorab zu stecken, bevor Sie im Nachgang ein Vielfaches dieser Zeit für die Wiederherstellung investieren müssen.In den letzten Jahren ist das Thema Sicherheit mehr in den Fokus gerutscht. Nicht zuletzt als die Gruppe "Anonymous" große Firmen bis hin zur CIA hacken konnte. Bei den Hackern selbst können verschiedene Motive zu Grunde liegen, warum Sie einen Angriff ausführen. Diese Motive reichen von Spaß und Freizeit bis hin zu finanziellen Interessen. Deshalb sollte jeder Internetseitenbetreiber, egal ob die Website auf WordPress, TYPO3, Joomla oder einem anderen CMS läuft, auf Angriffe vorbereitet sein. Hierzu können Sie sich an ein paar einfach Grundregeln halten, die für jede Website zutreffen. Bei größeren Seiten muss dort natürlich mehr Aufwand betrieben werden, als bei der Homepage des Sportvereins. Generell gilt eine Website als sicher, wenn Integrität, Erreichbarkeit und Vertraulichkeit gewährleistet sind.

Eingefügtes Bild

Grundregel 1 - Updates
Halten Sie die Updates des TYPO3 CMS System immer auf den aktuellsten Stand. So können Sie bekannt gewordene Sicherheitsrisiken schnell beseitigen. Als Informationsquelle sollten Sie sich den kostenlosen Newsletter oder RSS-Feed abonnieren. Neben dem System der Website ist natürlich ein aktueller Virenschutz auf Ihren Computer oder Notebook unumgänglich, da gerade dort der "Virenherd" am größten ist.

Grundregel 2 - Backups
Backups von der Datenbank oder dem kompletten Webspace sind unumgänglich. Diese sollten Sie in regelmäßigen Abständen anfertigen. Nicht nur wegen dem Angriffsrisiko von außen, sondern auch um bei Programmierungen oder Erweiterungen schnell auf einen funktionierenden Stand zurückgehen zu können.  Achten Sie aber darauf, dass die Backup Dateien nicht auf dem gleichen Webspace wie Ihre Homepage liegen.
Mein Tipp: Sichern Sie sich das Backup lokal auf eine externe Festplatte und zusätzlich auf einen anderen Webspace, damit Sie einen Datenverlust ausschließen können.
In welchen Abständen Sie Backups erzeugen sollten, liegt ganz an Ihrem Projekt. Gerade bei einem Webshop mit Kundendaten empfiehlt sich ein tägliches Datenbank Backup und eine wöchentliche  Vollsicherung des Webspaces. Bei eher kleinen Blogs würde ich vor jeder Softwareänderung eine Sicherung erstellen.

Grundregel 3 - Log-Files
Es ist sehr ratsam alle Zugriffe auf die Seite und Fehler zu loggen (protokollieren). Diese Log-Files dienen zur Auswertung der Angriffe und können auch für die Analyse von Besucher Statistiken hergenommen werden.  Aktivieren Sie deshalb in den PHP-Einstellungen auch das Aufzeichnen von Fehlern.

PHP-Fehler aufzeichnen

log_errors = On

error_log = /#absoluter Pfad zur Datei#/php-error.log

TYPO3-Fehler ins PHP-Log  aufzeichnen

$TYPO3_CONF_VARS['SYS']['systemLog'] = 'error_log';

$TYPO3_CONF_VARS['SYS']['systemLogLevel'] = '2';

Denken Sie auch daran, diese Log-Files in einem bestimmten Turnus zu überwachen. Eine Aktivierung bringt sonst nichts, außer weniger Speicherplatz.

Grundregel 4 - Monitoring
Für kleine Websites ist es ausreichend immer mal die Log-Files durchzusehen. Leider wird diese "nervige Arbeit" aber gerne verdrängt oder gerät in Vergessenheit. Hierzu wurden Programme (wie z.B. Nagios) entwickelt, die Ihre angeschlossenen Webserver überwacht und Sie bei Fehler per E-Mail oder SMS benachrichtigt. Falls Sie eine Überwachung nur eine ein oder zwei Websites wünschen würde ich Ihnen eher dem Nutzung eine der vielen kostenlosen Online-Dienste empfehlen. (z.B. monitor.us)


Lesen Sie mehr über das Absichern von bereits befallenen Webseiten im 2. Teildieser Artikelserie.

Click here to view the Artikel

[Artikel] Social Network Integration für TYPO3

24 Juni 2012 - 04:17

Die Mitgliederzahlen der sozialen Netzwerke, wie Facebook, Google+ und Twitter sind nicht nur beeindruckend, sondern auch extrem interessant für Sie. Als Homepagebetreiber sind Sie immer auf der Suche nach neuen Besuchern oder Mitglieder, deshalb empfiehlt es sich auch auf den "Social-Network-Zug" aufzuspringen. Die Vorteile liegen auf der Hand: kostenloses Marketing und eine Verbesserung des Google-Rankings für Ihre Website durch Ihre Fans und Followers. Im Gegenzug dafür erleichtern Sie den eigenen Besuchern (und sich selbst) die Arbeit durch wertvolle Erweiterungen.
Heute möchte ich Ihnen eine Social Network Integration für Ihre TYPO3 Website vorstellen. TYPO3 ist ein freies und sehr beliebtes Content Management Framework für Websites, das Sie durch unzählige Erweiterung individuell anpassen können.

Eingefügtes Bild

Share Buttons
Die Sharing-Buttons sind ein willkommenes Marketingtool. Mit nur einen Klick auf "Gefällt mir" oder "+1" postet der User den Link Ihrer Website auf seinen Social Network Profil für alle definierten Freundeskreise. Sie haben die Möglichkeit die Share Buttons mit Hilfe der offiziellen Extensions (Erweiterung) "googleplusone" für den Google +1 Button und "tweet button" für Twitter einzubauen. Falls Sie eher ein Freund von wenigen Extensions sind können Sie sich mit der Erweiterung "st_socialnetwork" von Thomas Scheibitz helfen. In der Erweiterung sind neben der Anbindung zu Facebook, Twitter, Xing, LinkedIn, Youtube und MeinVZ auch verschiedene Buttondesigns enthalten, die Sie sogar mit den URL-Shortenern bit.ly und t.co verknüpfen können.Twitter-Feed
Um seinen Twitter-Feed in Form eines Stream in die eigene Homepage einzubauen, sollte man die Erweiterung "incore_twitter" nutzen. Es lassen sich mehrere Twitter-Accounts abbilden und selbst ein Filter nach einem Hashtag ist einstellbar.

Social Network Sammlung
Wollen Sie hingegen mehrere Funktionen der Social Networks nutzen empfiehlt es sogenannte Sammelerweiterungen zu installieren. Dort sind mehr Funktionen und Möglichkeiten integriert, als nur die Share Buttons. Die Erweiterung "rl_socialconnect" kann neben dem meist verbreiteten Facebook und Twitter auch Flickr und Youtube. So können Sie zusätzlich ganze Bilder-Galerien und Videos schnell und einfach integrieren.
Mehr Funktionen kann auch die Erweiterung "facebook_socialplugins". Diese Extension empfiehlt sich aber nur dann, wenn Sie ausschließlich auf eine Facebook-Integration gehen, da hier keine anderen sozialen Netze unterstützt werden. Nach der Installation können Sie das Activity Feed, Kommentare, Login- und Like-Button, etc. auf Ihre Website einbinden.

News via TYPO3 posten
Eine sehr hilfreiche Erweiterung ist "pxa_newstofb", mit der Sie Ihre veröffentliche News auf der Homepage direkt auch auf Ihrer Facebook-Fanpage posten können. Durch die Implementierung der Extension wird bei den tt_news-Datensätzen ein weiteres Feld hinzugefügt, mit dem Sie entscheiden können ob der News Text auch bei Facebook erscheinen soll. Allein eine Facebook App-ID wird benötigt.
Das funktioniert natürlich auch für den Mikroblogging-Dienst Twitter. Beachten müssen Sie nur, dass die Tweets auf 140 Zeichen beschränkt sind und der Link auch noch hineinpassen muss. Ich verwende dafür die Erweiterung "pmkttnewstwitter".

Single-Sign-On
Wenn man von Single-Sign-On spricht, meint man vereinfacht, das Einloggen an verschiedenen Systemen oder Accounts mit nur einem Login. Diese Technik breitet sich auch immer mehr im Internet durch Facebook Funktion "Facebook Connect" aus. Sollten Sie auf Ihrer Website einen Mitgliederbereich anbieten könnten Sie mit der Erweiterung "ajado_facebook" die Registrierung mit dem Facebook Login komplett ersetzen. Besonders empfehlenswert ist das aus meiner Sicht aber nicht, da Sie sonst die Besucher ohne Facebook komplett ausschließen. Bei der Registrierung auf Ihrer Homepage würde ich Facebook Connect optional anbieten, aber nicht ausschließlich.

Datenschutz
Bezüglich des Datenschutzes möchte ich aber noch einmal explizit darauf hinweisen, dass das Einbinden von Like- oder Tweet-Buttons immer noch als bedenklich angesehen wird, da die Social Networks damit schon Userdaten sammeln können. Sichern Sie sich zumindest mit einer Datenschutzerklärung für Facebook, Twitter, Google+ und auch Google Analytics im Impressum Ihrer Website ab.

Click here to view the Artikel