Klaus-D. Wenger
Hacker
In den letzten 2 Wochen - von längerer Hand vorbereitet - ist ein Trupp von Hackern unterwegs speziell von CMS'en die keine eigene .htaccess dabei, wie z.B. Joomla.
Bei ISP's wo in der php.ini Register_globals = ON ist
kann man dieses selber ausstellen in einer Datei namen .htaccess (im Zweifel als htaccess.txt speichern und per ftp uploaden und auf dem Server umbennen in .htaccess) mit
Diese Datei muss in den hautpfad einer domain und deckt alle Unterpfade mit ab.
Wer die Sicherheit erhöhen will sodass bei falscher Serverkonfiguration von aussen keine PUT-Befehle u.a. erfolgen können, d.h. die page bon aussern von anderen verändert wird oder schlimmers kann sich weiter in der selber Datei weiter absichern
es kann vorkommen das es bei dem einem oder anderen ISP nicht funtzt, wie z.B. bei 1und1 oder server4free
dann sollte man davor noch einsetzen:
bei 1und1 ist muste das z.B. so gelöst werden
Kursives bitte ändern
es geht auch alles 3 in eine, muss man aber selber ausprobieren/testen was klappt und was nicht
Bei ISP's wo in der php.ini Register_globals = ON ist
kann man dieses selber ausstellen in einer Datei namen .htaccess (im Zweifel als htaccess.txt speichern und per ftp uploaden und auf dem Server umbennen in .htaccess) mit
Code:
php_flag register_globals off
Diese Datei muss in den hautpfad einer domain und deckt alle Unterpfade mit ab.
Wer die Sicherheit erhöhen will sodass bei falscher Serverkonfiguration von aussen keine PUT-Befehle u.a. erfolgen können, d.h. die page bon aussern von anderen verändert wird oder schlimmers kann sich weiter in der selber Datei weiter absichern
Code:
RewriteEngine on
RewriteCond %{QUERY_STRING} .*99.txt.* [NC]
RewriteRule ^(.*) /index.php? [L,R=301]
RewriteCond %{QUERY_STRING} .*path_.* [NC]
RewriteRule ^(.*) /index.php? [L,R=301]
RewriteCond %{QUERY_STRING} .*sett2a.* [NC]
RewriteRule ^(.*) /index.php? [L,R=301]
RewriteCond %{QUERY_STRING} .*sett2i.* [NC]
RewriteRule ^(.*) /index.php? [L,R=301]
es kann vorkommen das es bei dem einem oder anderen ISP nicht funtzt, wie z.B. bei 1und1 oder server4free
dann sollte man davor noch einsetzen:
Code:
:
<Directory "/var/www">
<Files ~ "^\.ht">
deny from all
</Files>
AllowOverride None
AllowOverride Indexes AuthConfig Limit FileInfo
Options None
Options -FollowSymLinks -SymLinksIfOwnerMatch +Includes
</Directory>
bei 1und1 ist muste das z.B. so gelöst werden
Code:
<Limit GET POST>
order deny,allow
deny from all
allow from all
</Limit>
<Limit PUT DELETE>
order deny,allow
deny from all
</Limit>
AuthName [i]Dein_Domain_Name.de[/i]
AuthUserFile /homepages/[i]pfad_zur_passwort_datei/dame_der_Passwort_datei..pwd[/i]
/homepages/[i]pfad_zur_Spezial_Sachen/Name_der_datei[/i]
Kursives bitte ändern
es geht auch alles 3 in eine, muss man aber selber ausprobieren/testen was klappt und was nicht