Website Angriffserkennung und Abwehr mit PHPIDS

***blue*** · 20.06.2009, 05:09

Ihr möchtet eure Webseite vor Attacken aus dem Internet schützen ?
Kein Problem mit dem frei verfügbarem PHPIDS

Dazu das PHPIDS downloaden:
http://php-ids.org/downloads

Das Archiv entpacken und nur den Ordner lib auf euren Webserver kopieren.

Dann erstellt Ihr eine Datei ids.php mit folgendem Inhalt und kopiert diese auf euren Webserver. Es muss der Pfad zu lib auf euren Server angepasst werden und $Result die Schwelle ab der blockiert wird... wobei 10 schon ein optmaler Wert ist. Falls Ihr eine Logdatei schreiben wollt muss diese durch den Webserver beschreibbar sein chmode 666

Code:

<?php
set_include_path(
get_include_path()
. PATH_SEPARATOR
. '/web/1/000/001/001/lib'
);
if (!session_id()) {
session_start();
}
require_once 'IDS/Init.php';
try {
$request = array(
'REQUEST' => $_REQUEST,
'GET' => $_GET,
'POST' => $_POST,
'COOKIE' => $_COOKIE
);
$init = IDS_Init::init(dirname(__FILE__) .
'/lib/IDS/Config/Config.ini');
$init->config['General']['base_path'] = dirname(__FILE__) .
'/lib/IDS/';
$init->config['General']['use_base_path'] = true;
$init->config['Caching']['caching'] = 'none';
$ids = new IDS_Monitor($request, $init);
$result = $ids->run();
if (!$result->isEmpty()) {
require_once 'IDS/Log/File.php';
require_once 'IDS/Log/Composite.php';
$compositeLog = new IDS_Log_Composite();
$compositeLog->addLogger(IDS_Log_File::getInstance($init));
$compositeLog->execute($result);
} else {
}
} catch (Exception $e) {
printf(
'An error occured: %s', 
$e->getMessage()
);
}
if ($result >=10) {
die (";-)");
}

In eure navigation.ccml muss ganz am Anfang folgender CCML Code eingebaut werden.

HTML-Code:

if(file_exists('<cc:print value="&home.folderurl+'ids.php'">')) {
require_once('<cc:print value="&home.folderurl+'ids.php'">');
}

Nun ist eure Webseite gegen Angriffe geschützt, in der Logdatei könnt Ihr sehen wie häufig Angriffe stattfinden...

Ich habe das Tool seit 10 Stunden laufen und habe schon ueber 70 Angriffe registriert wovon 50 recht heftig waren. Hier wurde versucht bösartige Cookie zusenden...

Mehr über das PHPIDS Projekt gibts hier zu lesen:
http://www.heise.de/security/Erste-S...artikel/136032

Andreas · 17.07.2009, 13:02

Hi blue,

wo ganz oben, noch über dem <head> (den das Funktioniert leider nicht)?

Gruß

Andreas

***blue*** · 17.07.2009, 16:48

Stimmen die Pfade
. PATH_SEPARATOR
. '/web/1/000/001/001/lib'

mit phpinfo(); prüfen

Andreas · 17.07.2009, 18:58

Hi bleu,

das meinte ich nicht, folgendes passiert wenn ich den HTML-code in der Navigation.ccml einbaue, die site ändert sein aussehen und ganz oben erscheint:

if(file_exists('./ids.php')) { require_once('./ids.php'); }

Gruß

Andreas

***blue*** · 18.07.2009, 04:36

<?php
if(file_exists('<cc:print value="&home.folderurl+'ids.php'">')) {
require_once('<cc:print value="&home.folderurl+'ids.php'">');
}
?>

Versuche es einmal so...

Andreas · 18.07.2009, 12:12

Hallo bleu,

wenn ich den HTML-code als php-code eingebe ist meine HP nicht mehr sichtbar (error 500). Leider finde ich den fehler nicht.
Kann es sein, dass in der ids.php ein fehler ist, muss der code nicht
mit ?> enden?
Und sollte der HTML-Code mit < beginnen und mit > enden?

***blue*** · 18.07.2009, 12:38

Hmmm... Aus der Sicht von Web to Date ist kein Fehler mehr vorhanden...
Der Fehler muss in dem IDS stecken...

Hast Du beim Übertragen der Dateien auf klein GROß Schreibung geachtet...
Manche FTP-Programme machen automatisch alles klein...

Andreas · 18.07.2009, 12:56

Hi blue,

zunächst erstmal herzlichen Dank für deine schnelle Antworten,
dein "Engelsgeduld" mit uns newbees ist schon bewunderungswert

(Ich bin zwar mit eine Informatikerin verheiratet, aber die kann (will) mich
hier auch nicht helfen (PC´s und insbesondere Windows sind ja "pipifax"

))

Also ich habe den LIB-Ordner im Root \doc hochgeladen und die ids.php
auch. Muss die ids.php eventuell auch im Ordner LIB kopiert werden
(Groß-Klein ist übrigens OK)?

HG
Andreas

***blue*** · 19.07.2009, 13:09

Ich denke mal da stimmt was mit den Pfaden nicht... am besten nochmal genau schauen...

bejoro · 22.07.2009, 11:39

Hi Blue!

Super Beitrag zur Sicherheit in W2D!

Wenn alles geklappt hat, bemerkt man ja als "Normalanwender" nichts davon.

Wie kann ich testen, ob alles korrekt installiert ist und auch das Logfile geschrieben wird?

Ergänzung:
Sorry, wer lesen kann ist klar im Vorteil!

c't schreibt:

Hängt man für einen ersten Test der IDS-Funktion als simulierten SQL-Injection-Angriff ein

?test='%20OR%201=1--

an die URL seines Blogs an, so erscheint in der IDS-Datei ein dazugehöriger Eintrag mit einem Impact von 22.

Ein typischerweise bei Cross-Site-Scripting-Tests eingesetzter Parameter wie
?test=">XXX

erzeugt einen Eintrag mit einem Impact 4.

20.06.2009, 05:09	#1 (permalink)
*blue* Administrator Registriert seit: 19.03.2009 Ort: Heide Holstein Beiträge: 1.968	Website Angriffserkennung und Abwehr mit PHPIDS Ihr möchtet eure Webseite vor Attacken aus dem Internet schützen ? Kein Problem mit dem frei verfügbarem PHPIDS Dazu das PHPIDS downloaden: http://php-ids.org/downloads Das Archiv entpacken und nur den Ordner lib auf euren Webserver kopieren. Dann erstellt Ihr eine Datei ids.php mit folgendem Inhalt und kopiert diese auf euren Webserver. Es muss der Pfad zu lib auf euren Server angepasst werden und $Result die Schwelle ab der blockiert wird... wobei 10 schon ein optmaler Wert ist. Falls Ihr eine Logdatei schreiben wollt muss diese durch den Webserver beschreibbar sein chmode 666 Code: <?php set_include_path( get_include_path() . PATH_SEPARATOR . '/web/1/000/001/001/lib' ); if (!session_id()) { session_start(); } require_once 'IDS/Init.php'; try { $request = array( 'REQUEST' => $_REQUEST, 'GET' => $_GET, 'POST' => $_POST, 'COOKIE' => $_COOKIE ); $init = IDS_Init::init(dirname(__FILE__) . '/lib/IDS/Config/Config.ini'); $init->config['General']['base_path'] = dirname(__FILE__) . '/lib/IDS/'; $init->config['General']['use_base_path'] = true; $init->config['Caching']['caching'] = 'none'; $ids = new IDS_Monitor($request, $init); $result = $ids->run(); if (!$result->isEmpty()) { require_once 'IDS/Log/File.php'; require_once 'IDS/Log/Composite.php'; $compositeLog = new IDS_Log_Composite(); $compositeLog->addLogger(IDS_Log_File::getInstance($init)); $compositeLog->execute($result); } else { } } catch (Exception $e) { printf( 'An error occured: %s', $e->getMessage() ); } if ($result >=10) { die (";-)"); } In eure navigation.ccml muss ganz am Anfang folgender CCML Code eingebaut werden. HTML-Code: if(file_exists('<cc:print value="&home.folderurl+'ids.php'">')) { require_once('<cc:print value="&home.folderurl+'ids.php'">'); } Nun ist eure Webseite gegen Angriffe geschützt, in der Logdatei könnt Ihr sehen wie häufig Angriffe stattfinden... Ich habe das Tool seit 10 Stunden laufen und habe schon ueber 70 Angriffe registriert wovon 50 recht heftig waren. Hier wurde versucht bösartige Cookie zusenden... Mehr über das PHPIDS Projekt gibts hier zu lesen: http://www.heise.de/security/Erste-S...artikel/136032

17.07.2009, 13:02	#2 (permalink)
Andreas Erfahrener Benutzer Registriert seit: 05.04.2009 Ort: 29525 Uelzen Beiträge: 115	AW: Website Angriffserkennung und Abwehr mit PHPIDS Hi blue, wo ganz oben, noch über dem <head> (den das Funktioniert leider nicht)? Gruß Andreas

17.07.2009, 16:48	#3 (permalink)
*blue* Administrator Registriert seit: 19.03.2009 Ort: Heide Holstein Beiträge: 1.968	AW: Website Angriffserkennung und Abwehr mit PHPIDS Stimmen die Pfade . PATH_SEPARATOR . '/web/1/000/001/001/lib' mit phpinfo(); prüfen __________________ cu blue... Web to Date Design Mods ab 10 Eur Web to Date Designs aufgepeppt...

17.07.2009, 18:58	#4 (permalink)
Andreas Erfahrener Benutzer Registriert seit: 05.04.2009 Ort: 29525 Uelzen Beiträge: 115	AW: Website Angriffserkennung und Abwehr mit PHPIDS Hi bleu, das meinte ich nicht, folgendes passiert wenn ich den HTML-code in der Navigation.ccml einbaue, die site ändert sein aussehen und ganz oben erscheint: if(file_exists('./ids.php')) { require_once('./ids.php'); } Gruß Andreas

18.07.2009, 04:36	#5 (permalink)
*blue* Administrator Registriert seit: 19.03.2009 Ort: Heide Holstein Beiträge: 1.968	AW: Website Angriffserkennung und Abwehr mit PHPIDS <?php if(file_exists('<cc:print value="&home.folderurl+'ids.php'">')) { require_once('<cc:print value="&home.folderurl+'ids.php'">'); } ?> Versuche es einmal so... __________________ cu blue... Web to Date Design Mods ab 10 Eur Web to Date Designs aufgepeppt...

18.07.2009, 12:12	#6 (permalink)
Andreas Erfahrener Benutzer Registriert seit: 05.04.2009 Ort: 29525 Uelzen Beiträge: 115	AW: Website Angriffserkennung und Abwehr mit PHPIDS Hallo bleu, wenn ich den HTML-code als php-code eingebe ist meine HP nicht mehr sichtbar (error 500). Leider finde ich den fehler nicht. Kann es sein, dass in der ids.php ein fehler ist, muss der code nicht mit ?> enden? Und sollte der HTML-Code mit < beginnen und mit > enden? Geändert von Andreas (18.07.2009 um 12:17 Uhr)

18.07.2009, 12:38	#7 (permalink)
*blue* Administrator Registriert seit: 19.03.2009 Ort: Heide Holstein Beiträge: 1.968	AW: Website Angriffserkennung und Abwehr mit PHPIDS Hmmm... Aus der Sicht von Web to Date ist kein Fehler mehr vorhanden... Der Fehler muss in dem IDS stecken... Hast Du beim Übertragen der Dateien auf klein GROß Schreibung geachtet... Manche FTP-Programme machen automatisch alles klein... __________________ cu blue... Web to Date Design Mods ab 10 Eur Web to Date Designs aufgepeppt...

18.07.2009, 12:56	#8 (permalink)
Andreas Erfahrener Benutzer Registriert seit: 05.04.2009 Ort: 29525 Uelzen Beiträge: 115	AW: Website Angriffserkennung und Abwehr mit PHPIDS Hi blue, zunächst erstmal herzlichen Dank für deine schnelle Antworten, dein "Engelsgeduld" mit uns newbees ist schon bewunderungswert (Ich bin zwar mit eine Informatikerin verheiratet, aber die kann (will) mich hier auch nicht helfen (PC´s und insbesondere Windows sind ja "pipifax")) Also ich habe den LIB-Ordner im Root \doc hochgeladen und die ids.php auch. Muss die ids.php eventuell auch im Ordner LIB kopiert werden (Groß-Klein ist übrigens OK)? HG Andreas

19.07.2009, 13:09	#9 (permalink)
*blue* Administrator Registriert seit: 19.03.2009 Ort: Heide Holstein Beiträge: 1.968	AW: Website Angriffserkennung und Abwehr mit PHPIDS Ich denke mal da stimmt was mit den Pfaden nicht... am besten nochmal genau schauen... __________________ cu blue... Web to Date Design Mods ab 10 Eur Web to Date Designs aufgepeppt...

22.07.2009, 11:39	#10 (permalink)
bejoro Benutzer Registriert seit: 19.06.2009 Ort: Cadolzburg Beiträge: 83	AW: Website Angriffserkennung und Abwehr mit PHPIDS Hi Blue! Super Beitrag zur Sicherheit in W2D! Wenn alles geklappt hat, bemerkt man ja als "Normalanwender" nichts davon. Wie kann ich testen, ob alles korrekt installiert ist und auch das Logfile geschrieben wird? Ergänzung: Sorry, wer lesen kann ist klar im Vorteil! c't schreibt: Hängt man für einen ersten Test der IDS-Funktion als simulierten SQL-Injection-Angriff ein ?test='%20OR%201=1-- an die URL seines Blogs an, so erscheint in der IDS-Datei ein dazugehöriger Eintrag mit einem Impact von 22. Ein typischerweise bei Cross-Site-Scripting-Tests eingesetzter Parameter wie ?test=">XXX erzeugt einen Eintrag mit einem Impact 4. __________________ Viele Grüße Bernhard www.enjoy-audio.de Geändert von bejoro (22.07.2009 um 11:49 Uhr)

Themen-Optionen	Thema durchsuchen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen	Thema durchsuchen: Erweiterte Suche
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln