Auflistung der WAF Sperrgründe

Folgend erläutern wir die möglichen Sperrgründe der Web Application Firewall (WAF), die im Protokoll aufgeführt und Ihnen optional per E-Mail zugesandt werden. Sie können in den Optionen der WAF-Konfiguration den "Code" als Sicherheitsausnahme hinterlegen, sodass diese nicht protokolliert und/oder keine E-Mail an Sie auslösen.

Protokoll-Eintrag Code Ursache / Erläuterungen
Admin Query String ipwl Jemand hat versucht, auf den Administratorbereich Ihrer Website zuzugreifen, aber er hat den geheimen URL-Parameter nicht angegeben. WAF blockierte ihn und verhinderte, dass er die Login-Seite überhaupt sah.
Admin IP Whitelist adminpw Jemand hat versucht, auf den Administratorbereich Ihrer Website zuzugreifen, aber seine IP-Adresse war nicht in der Whitelist für Administratoren enthalten. WAF blockierte ihn und verhinderte, dass er die Login-Seite überhaupt sah.
Site IP Blacklist nicht anwendbar Jemand hat versucht, auf das Front- oder Backend Ihrer Website zuzugreifen, aber seine IP ist in der IP-Blacklist. WAF blockierte ihn und erlaubte ihm nicht, den Inhalt Ihrer Website zu sehen.
Bad Words Filtering antispam Die Anfrage enthält eines der von Ihnen definierten "Bad Words" und wurde von WAF blockiert.
tmpl= in URL tmpl Eines der weniger bekannten Joomla! Features sind die System-Templates. Wann immer ein Fehler auftritt oder Sie Ihre Website offline stellen, lädt Joomla! das entsprechende System-Template. Die Übergabe des Namens der Vorlage in der URL durch Anhängen von z.B. ?tmpl=offline ermöglicht es Ihnen, diese Vorlagen zu testen, ohne tatsächlich einen Fehler produzieren oder Ihre Website offline stellen zu müssen. Der Aufruf wurde von WAF blockiert.
template= in URL template Ein weiteres verstecktes Feature von Joomla! ist die Möglichkeit, zwischen installierten Vorlagen (Templates) zu wechseln, indem man einen speziellen URL-Parameter namens "template" übergibt. Wenn Sie diese Option in WAF aktivieren, wird diese versteckte Joomla!-Funktion deaktiviert.
404 Shield 404shield Die Funktion 404 blockiert irreguläre "Page not found"-Anfragen, die typischerweise darauf hindeuten dass Ihre Website von einem automatischen Schwachstellen-Scanner oder Hacking-Tool erfasst wird. Zum Beispiel jemand der versucht auf den Ordner wp-admin auf Ihrer Joomla-Site zuzugreifen, irregulär da dieser Ordner der Administrationsbereich von WordPress ist. Da auf Ihrer Website Joomla ausgeführt wird bedeutet dies dass die Anfrage an Ihre Website sehr wahrscheinlich bösartig war, z.Bsp. ein automatisiertes Tool (Bot), das versucht Ihre Zugangsdaten zu erraten indem es verschiedene gängige Kombinationen von Benutzernamen und Passwörtern ausprobiert. In diesem Zusammenhang ist die Anfrage als Sicherheitsmassnahme zu behandeln.

Die Standardliste der URLs, die von 404Shield blockiert werden sollen, besteht aus bekannten reinen WordPress-Pfaden. Das liegt daran, dass wir wissen, dass diese URLs nicht auf einer Joomla-Site gefunden werden können und typischerweise von automatisierten Hacking-Tools verwendet werden, wodurch die Möglichkeit von Fehlalarmen minimiert wird. Sie können jederzeit weitere Pfade hinzufügen wenn Sie wollen.
MUA Shield muashield Malicious User Agent block (MUAShield). Viele Hacker werden versuchen, mit einem Browser auf Ihre Website zuzugreifen, der so konfiguriert ist dass er bösartigen PHP-Code in der Zeichenfolge des Benutzeragenten sendet (ein kleines Stück Text, das zur Beschreibung des Browsers an Ihren Server verwendet wird). Die Idee ist, dass eine fehlerhafte Protokollverarbeitungssoftware sie analysiert und es dem Hacker ermöglicht, die Kontrolle über Ihre Website zu erlangen. Wenn diese Funktion aktiviert ist, kann WAF solche Angriffe erkennen und die Anforderung blockieren.
SQLi Shield sqlishield Wenn die Option "SQLiShield protection against SQL injection attacks" aktiviert ist, versucht WAF häufige SQL-Injektionsangriffe auf Ihre Website zu erkennen und zu blockieren.

Aber was ist ein SQLi-Angriff? Ein paar Joomla-Erweiterungsentwickler sind Hobbyisten, ohne Erfahrung und/oder Sicherheitstraining; oder Fehler passieren, wie Joomla selbst herausgefunden hat. Einer der häufigsten Fehler die sie machen sind Annahmen über die Art oder den Inhalt der vom Benutzer übermittelten Daten zu treffen und diese in Datenbankabfragen wie bisher zu interpolieren. Datenbankabfragen werden auch als SQL-Abfragen bezeichnet (SQL ist die Abkürzung für Structured Query Language, eine Programmiersprache in der die Datenbankabfragen geschrieben sind). Ein Angreifer kann diesen Fehler ausnutzen, indem er Daten sendet die dazu führen dass die Datenbankabfrage des Entwicklers beendet wird und eine neue startet, die entweder privilegierte Daten - wie Benutzernamen und Passwörter - ausgibt oder Daten in die Datenbank ändert, wie z.B. einen neuen Superuser unter der Kontrolle des Angreifers. Diese Angriffsklasse wird als SQL Injection, kurz SQLi, bezeichnet da der Angreifer seinen eigenen Code in eine auf der Website laufende SQL-Abfrage "injiziert".
CSRF Shield csrfshield CSRF/Anti-spam form protection (CSRFShield). Eines der Hauptanliegen von Webformularen - wie Login-Formulare, Kontaktformulare usw. - ist, dass sie von automatisierten Skripten (Bots) genutzt werden können. Dies wird in der Regel durchgeführt, um Spam-Mails oder Brute-Force-Passwörter zu versenden. WAF verfügt über zwei Methoden, um einen solchen Missbrauch zu verhindern, abhängig von der Einstellung dieser Option:
  • Nein: Schaltet diese Funktion aus.
  • Einfach: Führt eine grundlegende Referrer-Filterung durch. Wenn der Browser des Besuchers meldet, dass die vorherige Seite nicht zu Ihrer Website gehörte, blockiert WAF die Verarbeitung des Formulars. Dies reicht aus, um Skriptkiddies und einfache Spam-Bots zu vereiteln, wird aber nichts für schwerwiegendere Angriffe tun.
  • Fortgeschrittene: Zusätzlich zum Basisschutz fügt WAF automatisch ein verstecktes Feld in alle Formulare ein. Spambots werden in der Regel versuchen, alle Felder eines Formulars auszufüllen, einschliesslich des versteckten. In diesem Fall wird die Anforderung von WAF blockiert. Dies ist eine bessere Methode, aber sie ist viel langsamer und nicht für Websites mit hohem Traffic (mehrere zehntausend Besucher pro Tag) empfohlen.
Hinweis: Wenn Sie erwarten, dass externe Websites POST-Anfragen an Ihre Website richten, z.B. PayPal, das IPN-Benachrichtigungen zurücksendet, deaktivieren Sie bitte diese Funktion oder verwenden Sie die WAF-Ausnahmen, um sie zu umgehen, andernfalls werden alle diese Anfragen als Sicherheits-Ausnahmen gekennzeichnet. Wenn Sie alternativ erwarten, dass solche Anfragen nur von bestimmten IP-Adressen (z.B. PayPal) kommen, fügen Sie diese IPs bitte in die Whitelist "Niemals blockieren" dieser IPs ein.
RFIShield rfishield

Remote File Inclusion block (RFIShield). Einige Hacker werden versuchen, eine verwundbare Erweiterung zu zwingen, PHP-Code direkt von ihrem Server zu laden. Dies geschieht durch die Übergabe einer http(s):// oder ftp:// URL in ihrer Anfrage, die auf eine bösartige Website verweist. Wenn diese Option aktiviert ist, versucht WAF in solchen Fällen die Remote-URL zu holen und deren Inhalt zu scannen. Wenn festgestellt wird, dass es PHP-Code enthält, wird die Anfrage blockiert.

Wichtig: Wenn Ihre Website eine weisse Seite anzeigt wenn sie eine URL im Frontend Ihrer Website eingeben, deaktivieren Sie bitte diese Option. Die weisse Seite bedeutet dass Ihr Server für diese Art von Angriffen nicht anfällig ist und die Anfrage durch WAF nicht ordnungsgemäss erkannt wird. In diesem Fall hängt sich WAF auf, während sie versuchen den Inhalt des entfernten Standorts zu scannen, was zum Fehler der weissen Seite führt. Die Deaktivierung dieser Option stellt in einem solchen Fall kein Sicherheitsrisiko dar.

DFIShield dfishield Direct File Inclusion shield (DFIShield). Einige Hacker versuchen gefährdete Komponenten auszutricksen, um beliebige Dateien zu laden. Je nach verwundbarer Komponente wird die Datei entweder wortgetreu ausgegeben oder als PHP-Datei analysiert. Auf diese Weise können Angreifer sensible Informationen über Ihre Website erfahren oder bösartigen Code ausführen, der über einen anderen anfälligen Vektor auf Ihre Website hochgeladen wird, z.B. einen ungefilterten Upload von ausführbarem PHP-Code. Wenn diese Option aktiviert ist, durchsucht WAF die Anfrageparameter nach allem was wie ein Dateipfad aussieht. Wenn einer gefunden wird, wird er gescannt. Wenn festgestellt wird dass es PHP-Code enthält, wird die Anfrage abgelehnt.

Wichtig: Diese Funktion verhindert NICHT das Dumping von Nicht-PHP-Dateien, z.B. die Datei /etc/passwd von Linux-Servern.
UploadShield uploadshield Uploads scanner (UploadShield). Wenn diese Option aktiviert ist, scannt WAF proaktiv alle Dateien die über Joomla! hochgeladen werden.... Wenn festgestellt wird, dass eine dieser Dateien auch nur eine einzige Zeile PHP-Code enthält, wird die Anfrage blockiert. Dies kann einige Arten von sehr kniffligen Angriffen verhindern, wie z.B. das Hochladen von bösartigem PHP-Code, der in Avatarbildern verpackt ist. Beachten Sie, dass nicht alle Server diese Funktion unterstützen. Wenn das Verzeichnis der hochgeladenen Dateien durch open_basedir-Einschränkungen blockiert wird, findet keine Überprüfung statt. Wenn Sie unsicher sind, fragen Sie Ihren Hoster ob er open_basedir-Einschränkungen gesetzt hat, die den Zugriff auf das PHP-Upload-Verzeichnis blockieren. Wenn sie zustimmen, funktioniert diese WAF Funktion nur wenn diese Einschränkung aufgehoben wird.

Hinweis: Ab Joomla! 3.4.1 ist der UploadShield-Code in Joomla! selbst enthalten und immer aktiviert. Daher empfehlen wir unseren Kunden, diese Funktion ab Joomla! 3.4.1 deaktiviert zu lassen.
Geo Block geoblocking Jemand hat versucht, auf das Front- oder Backend Ihrer Website zuzugreifen, aber seine IP gehörte einem verbotenen Land oder einer verbotenen Region, wie es in der Funktion Geographical Blocking von WAF festgelegt ist.
Spammer (via HTTP:BL) httpbl WAF ermöglicht eine Integration mit den Spambekämpfungsdiensten von Project Honeypot. Das Projekt Honeypot ist eine gemeinsame Anstrengung, um Spammer, E-Mail-Harverster und Cracker zu erkennen. Der HTTP:BL-Dienst ermöglicht es den Teilnehmern, die IP-Adressen ihrer Besucher abzufragen und herauszufinden, ob es sich um einen bösartigen Benutzer handelt. Wenn Sie diese Funktion aktivieren, überprüft WAF die IP-Adresse jedes Besuchers und blockiert ihn, wenn es sich um einen bösartigen Benutzer handelt.
Login failure loginfailure Jemand hat versucht, sich im Front- oder Backend Ihrer Website mit dem falschen Benutzernamen und/oder Passwort anzumelden.
Backend Edit Admin User nonewadmins Jemand hat versucht, einen Administratorbenutzer über das Backend Ihrer Website zu erstellen oder zu bearbeiten. In diesem Zusammenhang bezeichnet "Administrator-Benutzer" jeden Benutzer, der einer oder mehreren Benutzergruppen angehört und ihnen die Berechtigung zum Anmelden am Backend erteilt. In einer Standardinstallation von Joomla! sind dies die Benutzer der Gruppen Manager, Administrator und Super User.
Frontend Edit Admin User nonewfrontendadmins Jemand hat versucht, einen Administratorbenutzer über das Frontend Ihrer Website zu erstellen oder zu bearbeiten. In diesem Zusammenhang bezeichnet "Administrator-Benutzer" jeden Benutzer, der einer oder mehreren Benutzergruppen angehört und ihnen die Berechtigung zum Anmelden am Backend erteilt. In einer Standardinstallation von Joomla! sind dies die Benutzer der Gruppen Manager, Administrator und Super User.
Configuration Editing configmonitor Jemand hat versucht entweder die globale Konfiguration von Joomla! selbst oder die Konfiguration (Optionen) einer Komponente zu ändern. Bitte konsultieren Sie die mit dieser Sicherheitsausnahme gespeicherten Zusatzinformationen um zu erfahren, welche Konfiguration versucht wurde geändert zu werden. Die Änderung kann aus dem Backend oder dem Frontend Ihrer Website stammen.
  • 29 Benutzer fanden dies hilfreich
War diese Antwort hilfreich?

Verwandte Artikel

Was versteht man unter einer WAF ?

MOORnetworks bietet für das CMS Joomla eine Web Application Firewall (WAF) als Option an. Die WAF...

Entsperrung der eigenen Adresse in WAF

Fehlerhafte Einstellungen der Web Application Firewall oder eine nicht kompatible...