Joomla plugin syslogauthlogJoomla Installationen sind häufig verschiedenen brute force Angriffen ausgesetzt, zu unterscheiden sind hier meist der FTP-Zugang und die Joomla Installation selbst. In beiden Fällen, bei Joomla normalerweise im Backend, werden in aller Regel die Passworte für bekannte Logins einfach ausprobiert. Das Frontend ist dabei meist nicht so verlockend für Angreifer. Beobachtet wurde dabei, dass die Angriffe oft von wenigen und den gleichen IP Adressen ausgingen.

 

Innerhalb der Joomla Installation gibt es normalerweise ein Verzeichnis (/logs/) in welchem eine Datei mit dem Namen error.php von Joomla selbst anlegt wird. Diese Datei hat jedoch den Nachteil, dass der Linux syslog daemon die Einträge nicht automatisch in die auth.log (bei Debian/Ubuntu Installationen) schreibt. Somit wird die Nachricht auch nicht an übergeordnete Syslog Receiver weitergereicht. Falls im Netzwerk ein fail2ban deamon seinen Dienst auf einem transparent Gateway tut steht diese Information dort nicht zur Verfügung, sie wäre auch noch nicht aussagekräftig genug.

Das Joomla Plugin syslogauthlog sorgt dafür, dass die Events direkt in den auth.log/security.log geschrieben werden und so für ein nach gelagertes fail2ban, mit dem korrekten Zeitstempel, direkt zur Verfügung stehen. Alle relevanten Informationen werden dabei weiter geleitet und so ein Joomla System Audit unterstützt.

Hinweise

Hinweise vor der Installation

Das Plugin Syslog Auth Logger ist vor allem für Hoster/Provider entworfen. Es protokolliert in die Betriebssystem Log Dateien, nicht in die Joomla Verzeichnisse. Wenn der Server nicht selbst betrieben wird oder keine Genehmigung für den Betrieb dieses Plugins vorliegt (Provider fragen), sollte man davon absehen und über das Plugin authenticationlogger nachdenken.

Das hier vorgestellte Plugin syslogauthlog ist eine sinnvolle Ergänzung für sog. Honeypots, da hiermit die Angriffe auf Joomla transparent gemacht werden. Im produktiven Betrieb wird empfohlen zusätzlich fail2ban einzusetzen, da diese Angriffe dann wirkungsvoll eingeschränkt werden können. Insbesondere virtuelle Hosts loggen auf diese Weise ihre Events auf ein gemeinsames Ziel, zusätzlich zu der virtuellen /logs/error.php. Die Konfiguration des Plugin syslogauthlog ist per Default für Provider passend voreingestellt.