Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

[gelöst] Register Globals

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Antworten
Andiux
Newbie
Newbie
Beiträge: 6
Registriert: 16. Dez 2004, 12:34

[gelöst] Register Globals

Beitrag von Andiux »

Hallo Leute, bin neu hier und möchte euch zuerst einmal alle begrüßen.
Ich hoffe ich finde hier die Antworten auf meine Fragen.
Fange gleich damit an:
Ich habe bei 1&1 einen Root Server gemietet und will jetzt ein spezielles Shop System laufen lassen. Leider geht das nur, wenn die Register Globals auf "On" stehen.
Keine Ahnung, wie ich das machen soll.
SSH Zugang habe ich.
Wer kann mir da weiterhelfen ??
Dieses Problem zeigt mir, dass ich mich doch mal intensiver mit Linux auseinandersetzen muss.
Benutzeravatar
snaewe
Hacker
Hacker
Beiträge: 415
Registriert: 13. Dez 2004, 16:32
Wohnort: Zu Hause

Beitrag von snaewe »

Moment, muss eben meine Kristallkugel weglegen...
...
...
So, da bin ich!

Ich denke, damit ist die Einstellung 'register_globals = On' in der
Datei php.ini gemeint.
Die müsstest Du wohl anpassen.

Stefan
Andiux
Newbie
Newbie
Beiträge: 6
Registriert: 16. Dez 2004, 12:34

Register Globals

Beitrag von Andiux »

Ja, das kann schon sein, nur wie mache ich das ???

Bin für einen Tipp sehr dankbar.
Benutzeravatar
snaewe
Hacker
Hacker
Beiträge: 415
Registriert: 13. Dez 2004, 16:32
Wohnort: Zu Hause

Beitrag von snaewe »

Tipp:

1. Du suchst die Datei 'php.ini' (liegt bei mir z.B. in /etc/php/apache)
2. Du nimmst den Editor deiner Wahl und öffnest die Datei aus 1.
3. Du suchst nach 'register_globals' und guckst, ob da '= Off' steht
3a. Wenn ja -> aus dem 'Off' ein 'On' machen, Datei speichern, Apache neu starten
3b. Wenn nein -> Frikadelle ans Bein nageln und so lange drehen bis Du
Radio Luxemburg hörst...oder jemanden fragen, der sich damit auskennt... ;-)

Stefan
Andiux
Newbie
Newbie
Beiträge: 6
Registriert: 16. Dez 2004, 12:34

Beitrag von Andiux »

In der Konfigurationsdatei der php.ini steht: ... albeit register_globals; is disabled. PHP 4.3 and later will warn you,......
Ich habe die Datei mit eine Editor geöffnet..
Ist das die richtige Stelle um das zu ändern ??
Kann ich dort einfach " enabled" reinschreiben und speichern ??
Wie lade ich die Datei wieder zurück ??
Benutzeravatar
snaewe
Hacker
Hacker
Beiträge: 415
Registriert: 13. Dez 2004, 16:32
Wohnort: Zu Hause

Beitrag von snaewe »

Andiux hat geschrieben:In der Konfigurationsdatei der php.ini steht: ... albeit register_globals; is disabled. PHP 4.3 and later will warn you,......
Ich habe die Datei mit eine Editor geöffnet..
Ist das die richtige Stelle um das zu ändern ??
Kann ich dort einfach " enabled" reinschreiben und speichern ??
Neee!
Die Zeilen mit ';' am Anfang sind Kommentare. Such weiter in der Datei nach einer Zeile (ohne ';' am Anfang):

Code: Alles auswählen

register_globals = Off
Daraus machst Du

Code: Alles auswählen

register_globals = On
Andiux hat geschrieben:Wie lade ich die Datei wieder zurück ??
Was heisst das ?

Du speicherst die Datei und startest den Apache neu.


Stefan
Andiux
Newbie
Newbie
Beiträge: 6
Registriert: 16. Dez 2004, 12:34

Beitrag von Andiux »

So, geändert habe ich das und auch wieder gespeichert.
Scheint geklappt zu haben.

Wie starte ich jetzt neu ?? Muss ich da irgendwas beachten oder einstellen ??
Benutzeravatar
snaewe
Hacker
Hacker
Beiträge: 415
Registriert: 13. Dez 2004, 16:32
Wohnort: Zu Hause

Beitrag von snaewe »

Zum Neustarten des Apache z.B.

Code: Alles auswählen

/etc/init.d/apache restart
eingeben. (Könnte auch /etc/rc.d/apache heissen, je nach
verwendeter Distribution).

Aber ansonsten weisst Du was Du tust ?


Stefan
Andiux
Newbie
Newbie
Beiträge: 6
Registriert: 16. Dez 2004, 12:34

Beitrag von Andiux »

Jetzt muss ich nur noch wissen, wo ich das eingeben soll ??
Wie scon geschrieben , ich habe Null Ahnung von Linux.
Gibt es da eine Kommandozeile,gebe ich das in dem SSh Programm irgendwo ein oder kann ich den server auch über das installierte Confixx neu booten ??

Fragen über Fragen, aber ich glaube wir kommen jetzt zum Ende. :)

Ansonsten geht es mir gut, weiß aber nicht, was ich hier mache, dazu fehlt halt das Hintergrundwissen !!
Gut, dass es freundliche Helfer gibt, die aus Ihrem wissen kein Geheimnis machen und bereit sind spontan zu helfen.
In anderen Bereichen kann ich meine Hilfe anbieten.
Benutzeravatar
Zinnwurm
Hacker
Hacker
Beiträge: 261
Registriert: 1. Sep 2004, 13:32
Wohnort: echo ~ Deutschland/Augsburg
Kontaktdaten:

Beitrag von Zinnwurm »

Schön und jetzt ne Zwischenmeldung von mir:
Wer auch immer für dich Register_Globals auf Off gestellt hat, war schlau. XD
Register_globals=on kann ein unschönes - teilweise sogar heftiges - Sicherheitsrisiko bedeuten, was heißt du solltest all deine anderen Skripte auf dem Server überprüfen, ob sie anfällig sind.


Ein Beispiel....

Code: Alles auswählen

if( $Passwort == "wasauchimmer" ) {
   $login = true;
};
So, fur alle, die PHP können: Dieses Skript würde schlicht den Parameter Passwort prüfen und dann entsprechend einloggen. Klingt nicht gefährlich und ist für den Aufruf skript.php?Passwort=bla gedacht. Wenn jetzt jemand das Skript aber so aufruft?
skript.php?Passwort=pf&login=1
Richtig. Die Abfrage schert ihn nicht und plötzlich haste eine Variable $login==true drin....

Also, ohne PHP-Kenntnisse: Mit Register_Globals=On ist ein möglicher Angreifer in der Lage, Variabeln auf der Top-Ebene in dein Skript zu schmuggeln. Sind Skripte nicht darauf vorbereitet, ist das... nicht nett.
Nicht umsonst ist die Einstellung nicht empfohlen.
Ok, ich will das jetzt auch nicht hochschaukeln, denn damit die Sicherheitslücke da ist, müssten Skripte nicht darauf vorbereitet sein (was ich von guter Software erwarten würde) und der evtl. Angreifer müsste die Software kennen, die du verwendest. Aber MÖGLICH wär's...

Zu dem Shopping-Skript. k, dumm wenn die das brauchen. Man könnte sie ja anhalten, das umzuschreiben - groß wäre die Mühe nicht. Ansonsten könnte man es - solang man das Recht hat - ja selbst umschreiben.
Als letzte Möglichkeit bliebe - jedoch abhängig davon, wie das Skript so funzt, dem Skript einfach das zu geben, was es braucht, und das ohne Register_Globals=On....
Dazu brauchste die Argumente - und nur die-, die das Skript irgendwann braucht.

Code: Alles auswählen

<?php
$Argument1 = $_REQUEST["Argument1"];
$Argument2 = $_REQUEST["Argument2"];
?>
Dass kann man oben in die Datei des Skripts reinschmuggeln oder vor n Include-Befehl legen.
Aber ohne bissl Ahnung von PHP wird das nix...
Zuletzt geändert von Zinnwurm am 16. Dez 2004, 14:32, insgesamt 1-mal geändert.
Benutzeravatar
snaewe
Hacker
Hacker
Beiträge: 415
Registriert: 13. Dez 2004, 16:32
Wohnort: Zu Hause

Beitrag von snaewe »

Confixx kenne ich nur vom Namen.

Du bist doch per SSH auf dem Server, oder ?
Hast dann dort (in der SSH Shell) die Datei editiert ?
Also kannst Du dort '/etc/init.d/apache restart' + RETURN eingeben (ohne die '').

Du willst einen Server administrieren, hast aber überhaupt keine Ahnung davon ?
Mutig! Mutig!


Stefan
Benutzeravatar
PC-Ulf
Member
Member
Beiträge: 180
Registriert: 1. Okt 2004, 17:30
Wohnort: Köln
Kontaktdaten:

Beitrag von PC-Ulf »

Hört auf Zinnwurm, schafft euch einfach die neue Variante des Shops zu, sollte es keine geben, sucht euch was vernünftiges.

Ich betreibe auch einen Rechner bei 1&1. Ca. 800 Angriffe pro Tag per Skripts, im Moment. Der Rechner läuft seit August. Ich kann aus meinen Log-Dateien euch nur sagen das Schwächen nur so gesucht werden, und Register_Globals=ON ist eine sehr großer Sicherheitsfaktor (nicht umsonst ist in PHP5 generell diese Variabel off) und auch bei Angreifer ohne großen Kenntnisstand sehr beliebt.

edit /
Tip: Sonderheft 01 Linux Magazin (ist zur Zeit am Kiosk): Thema Sicherheit

Zudem installier auf Deienm Server umgehend das Programm tripwire und logwatch :!:
Ohne diese Programme könnte ich nicht ruhig schlafen.
Andiux
Newbie
Newbie
Beiträge: 6
Registriert: 16. Dez 2004, 12:34

Beitrag von Andiux »

Ich danke vorerst für die perfekten Tipps. Es läuft alles perfekt.
Meinen Dank an eure Hilfsbereitschaft. Wenn ich für euch mal was tun kann, meldet euch. Ich verkaufe u.a. hochwertiges Motorradzubehör ( ca. 30.000 Produkte ). u.a. bei www.bikers-warehouse.de , www.banditshop.de, www.hagon-federbeine.de.......( mal bei google eingeben )
Vielleicht findet sich auch jemand, der Lust auf eine Zusammenarbeit hat. Mir liegt mehr der Verkauf als die Programmierung. Ideen und Kontakte mit guten Konditionen sind genügend vorhanden. nur hapert es an der Umsetzung und Programmierung bzw. Umgang mit dem Server.

Sicherheitsproblem bei register_globals=On auf jeden Fall vorhanden. Ist mir klar. Nur, was soll ich machen ?? Meine Kunden warten auf Infos. Ich werde mich auf jeden Fall mit Linux beschäftigen und auch versuchen eigene Wege zu gehen.

Bin gerade dabei mir Linux einzurichten. Bestimmt komen da noch ein paar Fragen auf und ich würde mich freuen, wenn ich dann wieder mit euch Profis in Kontakt treten kann.

Thanx
Andy
Antworten