• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Sicherheitshinweise für CMS'ler

In den letzten 2 Wochen - von längerer Hand vorbereitet - ist ein Trupp von Hackern unterwegs speziell von CMS'en die keine eigene .htaccess dabei, wie z.B. Joomla.

Bei ISP's wo in der php.ini Register_globals = ON ist
kann man dieses selber ausstellen in einer Datei namen .htaccess (im Zweifel als htaccess.txt speichern und per ftp uploaden und auf dem Server umbennen in .htaccess) mit

Code:
php_flag register_globals off

Diese Datei muss in den hautpfad einer domain und deckt alle Unterpfade mit ab.

Wer die Sicherheit erhöhen will sodass bei falscher Serverkonfiguration von aussen keine PUT-Befehle u.a. erfolgen können, d.h. die page bon aussern von anderen verändert wird oder schlimmers kann sich weiter in der selber Datei weiter absichern

Code:
RewriteEngine on

RewriteCond %{QUERY_STRING} .*99.txt.* [NC]
RewriteRule ^(.*) /index.php? [L,R=301]

RewriteCond %{QUERY_STRING} .*path_.* [NC]
RewriteRule ^(.*) /index.php? [L,R=301]

RewriteCond %{QUERY_STRING} .*sett2a.* [NC]
RewriteRule ^(.*) /index.php? [L,R=301]

RewriteCond %{QUERY_STRING} .*sett2i.* [NC]
RewriteRule ^(.*) /index.php? [L,R=301]

es kann vorkommen das es bei dem einem oder anderen ISP nicht funtzt, wie z.B. bei 1und1 oder server4free
dann sollte man davor noch einsetzen:

Code:
:
<Directory "/var/www">
<Files ~ "^\.ht">
deny from all
</Files>
AllowOverride None
AllowOverride Indexes AuthConfig Limit FileInfo
Options None
Options -FollowSymLinks -SymLinksIfOwnerMatch +Includes
</Directory>

bei 1und1 ist muste das z.B. so gelöst werden


Code:
<Limit GET POST>
order deny,allow
deny from all
allow from all
</Limit>
<Limit PUT DELETE>
order deny,allow
deny from all
</Limit>
AuthName [i]Dein_Domain_Name.de[/i]
AuthUserFile /homepages/[i]pfad_zur_passwort_datei/dame_der_Passwort_datei..pwd[/i]
/homepages/[i]pfad_zur_Spezial_Sachen/Name_der_datei[/i]

Kursives bitte ändern

es geht auch alles 3 in eine, muss man aber selber ausprobieren/testen was klappt und was nicht
 
Oben