• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst] Register Globals

Andiux

Newbie
Hallo Leute, bin neu hier und möchte euch zuerst einmal alle begrüßen.
Ich hoffe ich finde hier die Antworten auf meine Fragen.
Fange gleich damit an:
Ich habe bei 1&1 einen Root Server gemietet und will jetzt ein spezielles Shop System laufen lassen. Leider geht das nur, wenn die Register Globals auf "On" stehen.
Keine Ahnung, wie ich das machen soll.
SSH Zugang habe ich.
Wer kann mir da weiterhelfen ??
Dieses Problem zeigt mir, dass ich mich doch mal intensiver mit Linux auseinandersetzen muss.
 

snaewe

Hacker
Moment, muss eben meine Kristallkugel weglegen...
...
...
So, da bin ich!

Ich denke, damit ist die Einstellung 'register_globals = On' in der
Datei php.ini gemeint.
Die müsstest Du wohl anpassen.

Stefan
 

snaewe

Hacker
Tipp:

1. Du suchst die Datei 'php.ini' (liegt bei mir z.B. in /etc/php/apache)
2. Du nimmst den Editor deiner Wahl und öffnest die Datei aus 1.
3. Du suchst nach 'register_globals' und guckst, ob da '= Off' steht
3a. Wenn ja -> aus dem 'Off' ein 'On' machen, Datei speichern, Apache neu starten
3b. Wenn nein -> Frikadelle ans Bein nageln und so lange drehen bis Du
Radio Luxemburg hörst...oder jemanden fragen, der sich damit auskennt... ;-)

Stefan
 
OP
A

Andiux

Newbie
In der Konfigurationsdatei der php.ini steht: ... albeit register_globals; is disabled. PHP 4.3 and later will warn you,......
Ich habe die Datei mit eine Editor geöffnet..
Ist das die richtige Stelle um das zu ändern ??
Kann ich dort einfach " enabled" reinschreiben und speichern ??
Wie lade ich die Datei wieder zurück ??
 

snaewe

Hacker
Andiux schrieb:
In der Konfigurationsdatei der php.ini steht: ... albeit register_globals; is disabled. PHP 4.3 and later will warn you,......
Ich habe die Datei mit eine Editor geöffnet..
Ist das die richtige Stelle um das zu ändern ??
Kann ich dort einfach " enabled" reinschreiben und speichern ??
Neee!
Die Zeilen mit ';' am Anfang sind Kommentare. Such weiter in der Datei nach einer Zeile (ohne ';' am Anfang):
Code:
register_globals = Off
Daraus machst Du
Code:
register_globals = On
Andiux schrieb:
Wie lade ich die Datei wieder zurück ??
Was heisst das ?

Du speicherst die Datei und startest den Apache neu.


Stefan
 
OP
A

Andiux

Newbie
So, geändert habe ich das und auch wieder gespeichert.
Scheint geklappt zu haben.

Wie starte ich jetzt neu ?? Muss ich da irgendwas beachten oder einstellen ??
 

snaewe

Hacker
Zum Neustarten des Apache z.B.
Code:
/etc/init.d/apache restart
eingeben. (Könnte auch /etc/rc.d/apache heissen, je nach
verwendeter Distribution).

Aber ansonsten weisst Du was Du tust ?


Stefan
 
OP
A

Andiux

Newbie
Jetzt muss ich nur noch wissen, wo ich das eingeben soll ??
Wie scon geschrieben , ich habe Null Ahnung von Linux.
Gibt es da eine Kommandozeile,gebe ich das in dem SSh Programm irgendwo ein oder kann ich den server auch über das installierte Confixx neu booten ??

Fragen über Fragen, aber ich glaube wir kommen jetzt zum Ende. :)

Ansonsten geht es mir gut, weiß aber nicht, was ich hier mache, dazu fehlt halt das Hintergrundwissen !!
Gut, dass es freundliche Helfer gibt, die aus Ihrem wissen kein Geheimnis machen und bereit sind spontan zu helfen.
In anderen Bereichen kann ich meine Hilfe anbieten.
 

Zinnwurm

Hacker
Schön und jetzt ne Zwischenmeldung von mir:
Wer auch immer für dich Register_Globals auf Off gestellt hat, war schlau. XD
Register_globals=on kann ein unschönes - teilweise sogar heftiges - Sicherheitsrisiko bedeuten, was heißt du solltest all deine anderen Skripte auf dem Server überprüfen, ob sie anfällig sind.


Ein Beispiel....
Code:
if( $Passwort == "wasauchimmer" ) {
   $login = true;
};
So, fur alle, die PHP können: Dieses Skript würde schlicht den Parameter Passwort prüfen und dann entsprechend einloggen. Klingt nicht gefährlich und ist für den Aufruf skript.php?Passwort=bla gedacht. Wenn jetzt jemand das Skript aber so aufruft?
skript.php?Passwort=pf&login=1
Richtig. Die Abfrage schert ihn nicht und plötzlich haste eine Variable $login==true drin....

Also, ohne PHP-Kenntnisse: Mit Register_Globals=On ist ein möglicher Angreifer in der Lage, Variabeln auf der Top-Ebene in dein Skript zu schmuggeln. Sind Skripte nicht darauf vorbereitet, ist das... nicht nett.
Nicht umsonst ist die Einstellung nicht empfohlen.
Ok, ich will das jetzt auch nicht hochschaukeln, denn damit die Sicherheitslücke da ist, müssten Skripte nicht darauf vorbereitet sein (was ich von guter Software erwarten würde) und der evtl. Angreifer müsste die Software kennen, die du verwendest. Aber MÖGLICH wär's...

Zu dem Shopping-Skript. k, dumm wenn die das brauchen. Man könnte sie ja anhalten, das umzuschreiben - groß wäre die Mühe nicht. Ansonsten könnte man es - solang man das Recht hat - ja selbst umschreiben.
Als letzte Möglichkeit bliebe - jedoch abhängig davon, wie das Skript so funzt, dem Skript einfach das zu geben, was es braucht, und das ohne Register_Globals=On....
Dazu brauchste die Argumente - und nur die-, die das Skript irgendwann braucht.
Code:
<?php
$Argument1 = $_REQUEST["Argument1"];
$Argument2 = $_REQUEST["Argument2"];
?>
Dass kann man oben in die Datei des Skripts reinschmuggeln oder vor n Include-Befehl legen.
Aber ohne bissl Ahnung von PHP wird das nix...
 

snaewe

Hacker
Confixx kenne ich nur vom Namen.

Du bist doch per SSH auf dem Server, oder ?
Hast dann dort (in der SSH Shell) die Datei editiert ?
Also kannst Du dort '/etc/init.d/apache restart' + RETURN eingeben (ohne die '').

Du willst einen Server administrieren, hast aber überhaupt keine Ahnung davon ?
Mutig! Mutig!


Stefan
 

PC-Ulf

Member
Hört auf Zinnwurm, schafft euch einfach die neue Variante des Shops zu, sollte es keine geben, sucht euch was vernünftiges.

Ich betreibe auch einen Rechner bei 1&1. Ca. 800 Angriffe pro Tag per Skripts, im Moment. Der Rechner läuft seit August. Ich kann aus meinen Log-Dateien euch nur sagen das Schwächen nur so gesucht werden, und Register_Globals=ON ist eine sehr großer Sicherheitsfaktor (nicht umsonst ist in PHP5 generell diese Variabel off) und auch bei Angreifer ohne großen Kenntnisstand sehr beliebt.

edit /
Tip: Sonderheft 01 Linux Magazin (ist zur Zeit am Kiosk): Thema Sicherheit

Zudem installier auf Deienm Server umgehend das Programm tripwire und logwatch :!:
Ohne diese Programme könnte ich nicht ruhig schlafen.
 
OP
A

Andiux

Newbie
Ich danke vorerst für die perfekten Tipps. Es läuft alles perfekt.
Meinen Dank an eure Hilfsbereitschaft. Wenn ich für euch mal was tun kann, meldet euch. Ich verkaufe u.a. hochwertiges Motorradzubehör ( ca. 30.000 Produkte ). u.a. bei www.bikers-warehouse.de , www.banditshop.de, www.hagon-federbeine.de.......( mal bei google eingeben )
Vielleicht findet sich auch jemand, der Lust auf eine Zusammenarbeit hat. Mir liegt mehr der Verkauf als die Programmierung. Ideen und Kontakte mit guten Konditionen sind genügend vorhanden. nur hapert es an der Umsetzung und Programmierung bzw. Umgang mit dem Server.

Sicherheitsproblem bei register_globals=On auf jeden Fall vorhanden. Ist mir klar. Nur, was soll ich machen ?? Meine Kunden warten auf Infos. Ich werde mich auf jeden Fall mit Linux beschäftigen und auch versuchen eigene Wege zu gehen.

Bin gerade dabei mir Linux einzurichten. Bestimmt komen da noch ein paar Fragen auf und ich würde mich freuen, wenn ich dann wieder mit euch Profis in Kontakt treten kann.

Thanx
Andy
 
Oben