Logelheim Posted March 7, 2006 Report Share Posted March 7, 2006 Ich habe das Mail 5000 Mal (in 10 Minuten ungef?hr) bekommen. Attention site admin of Le portail du nain de jardin. Tubes peinture acrylique, On DATE_FORMAT_LONG at DATE_TIME_FORMAT_SHORT the xt:C System has detected that somebody tried to send information to your site that may have been intended as a hack. Do not panic, it may be harmless: maybe this detection was triggered by something you did! Anyway, it was detected and blocked. The suspicious activity was recognized in /var/alternc/html/k/k6/www/xt/inc/xtc_Security.inc.php on line 116, and is of the type xt:C Security Alert. Additional information given by the code which detected this: Intrusion detection. Below you will find a lot of information obtained about this attempt, that may help you to find what happened and maybe who did it. Ist es schlim ? Was kann ich tun ? Danke. Link to comment Share on other sites More sharing options...
kchris Posted March 20, 2006 Report Share Posted March 20, 2006 Wie interpretiert man das am besten? Hat da jemand eine Ahnung? Es tritt vermehrt in letzter Zeit bei unseren 3.0.3 Shops auf, jedoch bei 3.0.4 Shops haben wir die Probleme nicht. MFG kchris Link to comment Share on other sites More sharing options...
John Steed Posted December 7, 2006 Report Share Posted December 7, 2006 Moin kchris, hast Du Google Analytics im Shop laufen? Seitdem wir GA benutzen, haben wir nämlich das gleiche Problem - immer wieder "Intrusion Detection" im Cookie-Block der xtc_security.inc.php (so um Zeile 115 rum). Schau mal ob in den Mails bei "Information in the $_COOKIE array" so was ähnliches steht: utmccn=(organic)|utmcsr=google|utmctr=irgendeinsuchwort|utmcmd=organic In einem PostNuke-Forum (PN benutzt die gleichen Security-Funktionen) hab' ich was interessantes dazu gefunden: http://support.pn-cms.de/module-CMS_Support_Forum-viewtopic-topic-19558.htm Was da genau das Problem im Cookie verursacht (auf jeden Fall Google, nur was genau...), versuche ich noch rauszufinden. Es scheint aber zu helfen, Google Analytics erstmal aus dem Shop zu entfernen. Cheers, J EDIT: Falls es wirklich *nur* Google ist, könnte folgende Änderung in der xtc_security.inc.php (so um Zeile 100 rum) hilfreich sein: foreach ($_COOKIE as $secvalue) { if (!is_array($secvalue) ) { ändern in foreach ($_COOKIE as $secvalue) { if (!is_array($secvalue) && !strpos($secvalue, "utmccn=(organic)|utmcsr=google") ) { Dann springt die Intrusion Detection nur noch an, wenn im Cookie *nicht* Google steht... Das ist zwar absolut dirty, ich probier's aber trotzdem grad aus. Generell sollte hier Google was ändern, nicht wir den Shop!!! Link to comment Share on other sites More sharing options...
John Steed Posted December 9, 2006 Report Share Posted December 9, 2006 Achtung, die von mit gestern vorgeschlagene Änderung bewirkt ein Sicherheitsleck, da sie die Intrusion Detection für alle Cookies mit den Inhalt google ausser Kraft setzt! Und Cookies lassen sich recht einfach fälschen... Ich habe das ganze nochmal verbessert, so dass die Intrusion Detection wieder läuft, bei Google-Cookies lediglich keine Mail mehr verschickt wird (nochmals, die Intrusion Detection funktioniert trotzdem!): Original-Code // Lets now sanitize the COOKIE vars if ( count($_COOKIE) > 0) { foreach ($_COOKIE as $secvalue) { if (!is_array($secvalue)) { if ((eregi("<[^>]*script.*\"?[^>]*>", $secvalue)) || (eregi(".*[[:space:]](or|and)[[:space:]].*(=|like).*", $secvalue)) || (eregi("<[^>]*object.*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*iframe.*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*applet.*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*meta.*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*style.*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*form.*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*window.*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*alert.*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*document.*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*cookie.*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*img.*\"?[^>]*>", $secvalue)) ) { xtcMailHackAttempt(__FILE__,__LINE__,'xt:C Security Alert','Intrusion detection.'); xtc_redirect(FILENAME_DEFAULT); } } } } ändern in // Lets now sanitize the COOKIE vars // added google mail filter - intrusion detection is still working if ( count($_COOKIE) > 0) { $ga = FALSE; // init google analytics flag foreach ($_COOKIE as $secvalue) { if (!is_array($secvalue)) { // check for google in cookie var if(strpos($secvalue, "utmccn=(organic)|utmcsr=google")){ $ga = TRUE; // set ga flag } // end check if ((eregi("<[^>]*script.*\"?[^>]*>", $secvalue)) || (eregi(".*[[:space:]](or|and)[[:space:]].*(=|like).*", $secvalue)) || (eregi("<[^>]*object.*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*iframe.*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*applet.*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*meta.*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*style.*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*form.*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*window.*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*alert.*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*document.*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*cookie.*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*img.*\"?[^>]*>", $secvalue)) ) { if(!$ga){ // prevents mails being sent if cookie is google analytics xtcMailHackAttempt(__FILE__,__LINE__,'xt:C Security Alert','COOKIE Intrusion detection.'); } xtc_redirect(FILENAME_DEFAULT); } } } } Das ist und bleibt aber dirty, da ich nicht einsehe, den Shop an Google anpassen zu müssen. Eher sollte sich Google bestehenden Webseiten anpassen... Link to comment Share on other sites More sharing options...
kchris Posted May 26, 2008 Report Share Posted May 26, 2008 Na das Problem hatte ich jetzt bei einem Shop wieder, danke für deine Lösung. Eventuell gibt es das Problem mit dem neuen Google Analytics ja nicht mehr. bye, kchris Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.