Umgang mit E-Mail Warnungen (E-Mail SecurityAlert)

Nutzbar ab: Version 11.x

Weblication® CMS Installationen bieten Ihnen diverse Sicherheitseinstellungen, zu welchen unten anderem die E-Mail Warnungen bei verdächtigen Aufrufen gehören.

Die Einstellungen für die Protokollierung und Benachrichtigung als verdächtig eingestufte Aufrufe finden sich in den Weblication® CMS Systemeinstellungen.
Bei aktivierter Benachrichtigung von E-Mail Warnungen geht im Falle eines als verdächtig eingestuften URL-Aufrufes eine E-Mail an die hinterlegte E-Mail Adresse. Diese weist bereits im Betreff auf die Warnung hin (E-Mail SecurityAlert) und führt dort auch die betroffene Domain auf. Im Inhalt der E-Mail werden diverse Umgebungswerte gelistet (z.B. IP-Adresse, URL, User-Agent, etc), welche für die weitere Analyse herangezogen werden können.

Seit geraumer Zeit nehmen die Angriffsversuche auf Webseiten immens zu. Durch Aufruf bestimmter Pfade und Parameter wird häufig versucht, Schwachstellen in Webseiten und deren Programmierung zu finden - und auszunutzen. Wenn ein Aufruf mehr zum Vorschein bringt, als die Seite eigentlich ausgeben sollte, kann solch ein Angriffsversuch schon gewinnbringend für den Aufrufenden sein.
Mögliche Szenarien:

  • Ausgabe von  Informationen zur Webserver- und PHP-Umgebung
    (z.B. Serverpfade und -einstellungen, Software-Versionen, etc.)
  • Auslesen von geschützten Inhalten
    (z.B. Benutzerdaten, Datenbankdaten, etc.)
  • Programmquelltext
    (z.B. Quelltext von Dateien (.php, .inc, etc.)
  • u.v.m.

Mit den gewonnenen Erkenntnissen können potentielle Angreifer ggf. Schadcode einschleusen oder auf sonstige Weise negative Folgen für und über die Webseite bewirken (z.B. Inhaltsmanipulation durch Übergabe von URL-Parametern, welche per E-Mail Link verbreitet werden können, etc.).

Umgang mit E-Mail Warnungen

Die URL zeigt Ihnen den verdächtigen Zugriff, also welche URL mit welchen URL-Parametern aufgerufen wurde. Daraus lässt sich bezogen auf das jeweilige Projekt ablesen, ob es diesen Aufruf wirklich gibt bzw. ob hier ein Angriffsversuch vorliegt. Diese Einschätzung ist jeweils individuell vorzunehmen.

Folgende Einschätzungen können zu einem erfolgten URL-Aufruf allgemein beim Abwägen mit auf den Weg gegeben werden (ohne Gewähr):

  • Sind Dateipfad und die URL-Parameter mit Ihren Parameter-Werten in der aufgerufenen Kombination für das Projekt nicht bekannt?
  • Handelt es sich beim Aufrufenden (User-Agent) um einen unerwünschten Besucher?

Wenn eine Frage mit JA beantwortet werden kann, handelt es sich in der Regel zumindest um einen nicht gewollten Aufruf, welcher somit ein Angriffsversuch darstellen kann.

Prüfen Sie in solchen Fällen immer, ob Ihnen der Aufruf der in der E-Mail genannten URL nicht gewünschte Inhalte Ihrer Webseiten liefert. Wenn dies nicht der Fall ist, handelt es sich meist um einen erfolglosen Angriffsversuch. Analysieren Sie die aber mit äusserster Sorgfalt, um dies sicher eingrenzen zu können.

Sofern zu einer Installationen die E-Mail Benachtigungen zur IP-Adresse den Wert "ip.anonymized" anzeigen, können Sie über einen Conf-Eintrag die Anonymisierung der Remote IP-Adressen deaktivieren.

Ähnliche Seiten

Entwicklerbereich Weblication® CMS - © Scholl Communications AG