Umgang mit E-Mail Warnungen (E-Mail SecurityAlert)

Nutzbar ab: Version

Weblication® CMS Installationen bieten Ihnen diverse Sicherheitseinstellungen, zu welchen unten anderem die E-Mail Warnungen bei verdächtigen Aufrufen gehören.

Die Einstellungen für die Protokollierung und Benachrichtigung als verdächtig eingestufte Aufrufe finden sich in den Weblication® CMS Systemeinstellungen. Über diese Funktion wird mehr Transparenz zu Aufrufen geschaffen, welche sonst nicht oder nur bei Überprüfung der access-Logs des Providers ersichtlich werden.

Bei aktivierter Benachrichtigung von E-Mail Warnungen geht im Falle eines als verdächtig eingestuften URL-Aufrufes eine E-Mail an die hinterlegte E-Mail Adresse. Diese weist bereits im Betreff auf die Warnung hin (E-Mail SecurityAlert) und führt dort auch die betroffene Domain auf. Im Inhalt der E-Mail werden diverse Umgebungswerte gelistet (z.B. IP-Adresse, URL, User-Agent, etc), welche für die weitere Analyse herangezogen werden können.
Offensichtlich bösartige Aufrufe werden von der Software bei aktivierter Einstellung schon vorneweg geblockt.
Bedenken Sie:
Wenn viele Aufrufe in kurzer Zeit stattfinden, kann es sich z.B. um Rückmeldungen diverser Marketingmassnahmen handeln, welche dann erwünscht sind. Daher ist ein standardmässiges Blockieren aufgrund der Frequenz von Aufrufen zu heikel. Prüfen Sie dies daher immer auf das Projekt bezogen und setzen solche Aussperrmechanismen mit Bedacht über einen längeren Zeitraum ein. Handelt es sich z.B. um eine IP-Sperre, sollten Sie bedenken, daß meist dynamische IP-Adressen verwendet werden, welche künftig von Benutzern verwendet werden, welche auch wirklich auf die Webseiten zugreifen wollen und sollen.

Seit geraumer Zeit nehmen die Angriffsversuche auf Webseiten immens zu. Durch Aufruf bestimmter Pfade und Parameter wird häufig versucht, Schwachstellen in Webseiten und deren Programmierung zu finden - und auszunutzen. Wenn ein Aufruf mehr zum Vorschein bringt, als die Seite eigentlich ausgeben sollte, kann solch ein Angriffsversuch schon gewinnbringend für den Aufrufenden sein.
Mögliche Szenarien:

  • Ausgabe von  Informationen zur Webserver- und PHP-Umgebung
    (z.B. Serverpfade und -einstellungen, Software-Versionen, etc.)
  • Auslesen von geschützten Inhalten
    (z.B. Benutzerdaten, Datenbankdaten, etc.)
  • Programmquelltext
    (z.B. Quelltext von Dateien (.php, .inc, etc.)
  • u.v.m.

Mit den gewonnenen Erkenntnissen können potentielle Angreifer ggf. Schadcode einschleusen oder auf sonstige Weise negative Folgen für und über die Webseite bewirken (z.B. Inhaltsmanipulation durch Übergabe von URL-Parametern, welche per E-Mail Link verbreitet werden können, etc.).

Umgang mit E-Mail Warnungen

Die URL zeigt Ihnen den verdächtigen Zugriff, also welche URL mit welchen URL-Parametern aufgerufen wurde. Daraus lässt sich bezogen auf das jeweilige Projekt ablesen, ob es diesen Aufruf wirklich gibt bzw. ob hier ein Angriffsversuch vorliegt. Diese Einschätzung ist jeweils individuell vorzunehmen.

Folgende Einschätzungen können zu einem erfolgten URL-Aufruf allgemein beim Abwägen mit auf den Weg gegeben werden (ohne Gewähr):

  • Sind Dateipfad und die URL-Parameter mit Ihren Parameter-Werten in der aufgerufenen Kombination für das Projekt nicht bekannt?
  • Handelt es sich beim Aufrufenden (User-Agent) um einen unerwünschten Besucher?

Wenn eine Frage mit JA beantwortet werden kann, handelt es sich in der Regel zumindest um einen nicht gewollten Aufruf, welcher somit ein Angriffsversuch darstellen kann.

Prüfen Sie in solchen Fällen immer, ob Ihnen der Aufruf der in der E-Mail genannten URL nicht gewünschte Inhalte Ihrer Webseiten liefert. Wenn dies nicht der Fall ist, handelt es sich meist um einen erfolglosen Angriffsversuch. Ggf. können Sie z.B unerwünschte Bots direkt blockieren (siehe weiterführende Links).
Analysieren Sie dies aber mit äusserster Sorgfalt, um sicher eingrenzen zu können, welche Aufrufe Sie blockieren.

Sofern zu einer Installationen die E-Mail Benachtigungen zur IP-Adresse den Wert "ip.anonymized" anzeigen, können Sie über einen Conf-Eintrag die Anonymisierung der Remote IP-Adressen deaktivieren.