Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Sicherheitshinweise für CMS'ler

Alles rund um die Systemverwaltung, die Administration und Konfiguration Eures Linuxsystems

Moderator: Moderatoren

Antworten
Klaus-D. Wenger
Hacker
Hacker
Beiträge: 271
Registriert: 24. Dez 2004, 12:03
Wohnort: Bremen
Kontaktdaten:

Sicherheitshinweise für CMS'ler

Beitrag von Klaus-D. Wenger » 26. Okt 2006, 05:15

In den letzten 2 Wochen - von längerer Hand vorbereitet - ist ein Trupp von Hackern unterwegs speziell von CMS'en die keine eigene .htaccess dabei, wie z.B. Joomla.

Bei ISP's wo in der php.ini Register_globals = ON ist
kann man dieses selber ausstellen in einer Datei namen .htaccess (im Zweifel als htaccess.txt speichern und per ftp uploaden und auf dem Server umbennen in .htaccess) mit

Code: Alles auswählen

php_flag register_globals off
Diese Datei muss in den hautpfad einer domain und deckt alle Unterpfade mit ab.

Wer die Sicherheit erhöhen will sodass bei falscher Serverkonfiguration von aussen keine PUT-Befehle u.a. erfolgen können, d.h. die page bon aussern von anderen verändert wird oder schlimmers kann sich weiter in der selber Datei weiter absichern

Code: Alles auswählen

RewriteEngine on

RewriteCond %{QUERY_STRING} .*99.txt.* [NC]
RewriteRule ^(.*) /index.php? [L,R=301]

RewriteCond %{QUERY_STRING} .*path_.* [NC]
RewriteRule ^(.*) /index.php? [L,R=301]

RewriteCond %{QUERY_STRING} .*sett2a.* [NC]
RewriteRule ^(.*) /index.php? [L,R=301]

RewriteCond %{QUERY_STRING} .*sett2i.* [NC]
RewriteRule ^(.*) /index.php? [L,R=301]
es kann vorkommen das es bei dem einem oder anderen ISP nicht funtzt, wie z.B. bei 1und1 oder server4free
dann sollte man davor noch einsetzen:

Code: Alles auswählen

:
<Directory "/var/www">
<Files ~ "^\.ht">
deny from all
</Files>
AllowOverride None
AllowOverride Indexes AuthConfig Limit FileInfo
Options None
Options -FollowSymLinks -SymLinksIfOwnerMatch +Includes
</Directory>
bei 1und1 ist muste das z.B. so gelöst werden

Code: Alles auswählen

<Limit GET POST>
order deny,allow
deny from all
allow from all
</Limit>
<Limit PUT DELETE>
order deny,allow
deny from all
</Limit>
AuthName [i]Dein_Domain_Name.de[/i]
AuthUserFile /homepages/[i]pfad_zur_passwort_datei/dame_der_Passwort_datei..pwd[/i]
/homepages/[i]pfad_zur_Spezial_Sachen/Name_der_datei[/i]
Kursives bitte ändern

es geht auch alles 3 in eine, muss man aber selber ausprobieren/testen was klappt und was nicht
OpenSUSE 11.2
- Eine einfache Lösung aus de.comp.lang.php.misc Date: Tue, 07 Oct 2003 20:03:32:
>> Wenn ihr PHP zu Dokumentationszwecken ausdrucken müsst, was verwendet
>> ihr dann?

Einen Drucker?

Werbung:
Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast