Sicherheitscheck ermittelt unsicheren Status

Sicherheit des Webservers, der Server und rund um phpBB
baytar
Beiträge: 190
Registriert: Mo 08.Mai, 2006 20:43

Sicherheitscheck ermittelt unsicheren Status

Beitrag von baytar »

habe einpaar unsicherheiten

bei CrackerTracker
habe ich die Version 4.1.1 das Script sagt mir die neue Version wäre 4.1.8,
hier auf Oxpus.de finde ich aber nur die Version 4.1.7


bei PHP
habe ich die Version 4.3.10-16

wo finde ich die neue Version von PHP ? (4.4.3)

und zuguter letzt soll PHP Globals unsicher sein.
was mache bei PHP Globals ?

wie bringe ich das wieder alles in Ordnung und was muß ich dabei beachten?

Bild
Zuletzt geändert von baytar am Mo 07.Aug, 2006 14:36, insgesamt 1-mal geändert.
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Ich hatte bei mir nur die Versionsnummer nicht aktualisiert, ansonsten wärst Du zum Download eh auf Cback's Seite gelandet.

Dann zu den einzelnen Punkten:
PHP und die Einstellung der register_global kannst Du nur ändern/aktualisieren, wenn Du einen Root Server hast.
Ansonsten musst Du Deinen Provider darum bitten.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
baytar
Beiträge: 190
Registriert: Mo 08.Mai, 2006 20:43

Beitrag von baytar »

danke Dir Oxpus,

mit meinem Board passiert doch nichts wenn mein Provider die Updates macht oder ?
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N »

Nee wenn der Provider es richtig macht dann nicht, hab auch wo PHP 4.4.3 raus kam all-inkl.com angeschrieben gehabt und die haben es diesmal sofort geändert gehabt nicht so wie bei PHP 4.4.2 wo die mich um geduld gebitten hatten da die erst auf ein Testserver getestet haben die version ob es mit die andere funktionen dann keine problemen geben wird.
Aber nach ne Woche wo ich nochmal angefragt hatte hatte die es auch da dann Update.

Aber zu PHP Globals dieses kann man zumindste bei all-inkl.com mit ein simple eintrag in der .htaccess Datei auch deaktivieren dazu muss diese .htaccess Datei im root des Forum liegen.

Einfach diese Code einfügen in der .htaccess:

Code: Alles auswählen

php_flag register_globals off
falls es nicht klappt unterstützt es dein Provider nicht und dann muss es dein Provider sofern kein Root zugriff auf den Server, wie oxpus schon sagte in der php.ini ändern.
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
baytar
Beiträge: 190
Registriert: Mo 08.Mai, 2006 20:43

Beitrag von baytar »

wie muss denn htaccess aussehen ?

ich meine im ganzen mit dem Code zusammen, denn bin bei meiner datei nicht so sicher ¢¦
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N »

Ja einfach den oben genannte code da an irgend einer stelle am beste am ende oder anfang der datei hinzufügen. wie die am ende genau aussieht kann ich ja schlecht sage da ich ja nicht weiss was alles in deiner .htaccess bereits is ;)
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
baytar
Beiträge: 190
Registriert: Mo 08.Mai, 2006 20:43

Beitrag von baytar »

hatte idiotischerweise damit etwas rumgespielt,
jetzt weiss ich nicht wie das Original aussehen soll :wall: :wall:
Zuletzt geändert von baytar am Mo 07.Aug, 2006 19:45, insgesamt 1-mal geändert.
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N »

Eine Orginal gibts da keine jedenfalls nicht bei ein phpBB Standard
Dann hängt sie doch einfach mal an, dann kann man ja mal schaun, den wie sagt oxpus so schön, die glaskugel ist defekt um sie zu befragen welche codes bereits drin sind *gg*
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
baytar
Beiträge: 190
Registriert: Mo 08.Mai, 2006 20:43

Beitrag von baytar »

ok hier so schaut die Datei aus

Code: Alles auswählen

DirectoryIndex index.html index.htm portal.php index.php
# prevent hotlinks on gif images 
   RewriteCond %{HTTP_REFERER} !^$ 
   RewriteCond %{HTTP_REFERER} !^http://(www\.)?mydomain\.de(/.*)?$ [NC] 
   RewriteRule .*\.(gif|jpe?g|png|bmp)$	-	[F]

ist das so korrekt ?
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Vorsicht, beim Ändern der PHP-Einstellungen mittels .htaccess!
Je nachdem, wie PHP in den Webserver eingebunden ist, kann das zu einem 500er Fehler führen, also einem "Internal Server Error"!
Ich rate daher dringend davon ab.
Nur in der php.ini (ggf. durch den Provider) die Änderungen vornehmen. Das führt dann nicht zu Fehlern.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
baytar
Beiträge: 190
Registriert: Mo 08.Mai, 2006 20:43

Beitrag von baytar »

OK ich lass die Finger von ^5
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N »

ja soweit ok, aba

Code: Alles auswählen

 RewriteCond %{HTTP_REFERER} !^http://(www\.)?mydomain\.de(/.*)?$ [NC]
deine domain heißt sicher nicht www.mydomain.de - da müsste schon deine URL eintragen damit es auch funktioniert.

EDIT: @oxpus, klar könnte passiern, aba dann kann man doch es wieder in der .htaccess rückgängig machen und dann sollte der fehler auch wieder weg sein oder?
Naja den code hab ich jedenfalls darmals von mein provider all-inkl.com bekommen, weil ich auch PHP Globals deaktiviert habe wollte.
Zuletzt geändert von Christian_N am Mo 07.Aug, 2006 20:37, insgesamt 1-mal geändert.
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Klar, kann man, muss man eben probieren, es sei aber gewarnt, wenn plötzlich diese Seite auftaucht.
Auch, wenn der Provider die Einbindung von PHP plötzlich ändert (gute Provider informieren hierüber aber die Kunden), kann dann genau dieser bislang funktionierende Eintrag das Board unerreichbar machen. Zumindest per Browser...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N »

(gute Provider informieren hierüber aber die Kunden)
Das stimmt, also ich bin ja bei all-inkl.com und bisher haben die mich über änderrungen am Server jedesmal rechtzeitig informiert auch da es auch ggf. zum ausfall kurzfristig der Seite kommen könnte dadurch.
Weiss ja nicht beim welche provider baytar ist, aba hoffen wir das er auch bei ein guten ist :)
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
baytar
Beiträge: 190
Registriert: Mo 08.Mai, 2006 20:43

Beitrag von baytar »

bin beim Sprintweb.de
ob er gut ist weiss ich nicht, da mein erster provider

und daher keine vergleichsmöglichkeit
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Hm, kenne ich auch nicht, aber abwarten, ob die einen guten Service liefern.
Wechseln kann man ja immer noch.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N »

Find ich auch, das bekomm man ja mit der Zeit mit, wie die auf Supportanfrage reagiere ob schnell, ob zufriedenstellend etc. und besonders wenn man von die echt veraltete PHP Version auf die aktuelle 4.4.3 ein Update haben will und die es dann machen, den wenn auch denne die Sicherheit etwas wert ist würde die es eigentlich machen auch dann.
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
baytar
Beiträge: 190
Registriert: Mo 08.Mai, 2006 20:43

Beitrag von baytar »

Wechseln ist gut :p

sagt mal ihr alten Hasen (oder Häsinnen) wo finde ich einen schnellen Server,
am liebsten Traffik unlimited zu vernünftigen konditionen ?
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

http://www.server4you.de
Da habe ich auch einen Server bestellt.
Und die Geschwindigkeit könnt Ihr auf Cback's Seite testen, der hat dort auch einen Server.

Aber bitte ansonsten wieder ontopic bleiben. Danke!
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
cbrkiter
Beiträge: 170
Registriert: Fr 26.Nov, 2004 01:30
Kontaktdaten:

Beitrag von cbrkiter »

hmmm. ich probiere mich mal hier anzuknüpfen anstatt ein neues Thema aufzumachen.

Ich kann die php.ini auch nicht selber verändern und habe sowohl register_globals = on und safe_mode = off in der ct-Anzeige. Da ich bei 1und1 bin und ich bisher immer nur mitbekommen hatte, dass sie dies nicht ändern, habe ich bisher mit der Hoffnung auf Verschonung vor Übeltätern gelebt. Bisher ging ja auch alles gut. Die Änderung per htaccess geht übrigens auch nicht.

Jetzt habe ich aber durch ein Joomlaforum dieses gefunden, dass ich bei 1und1 lediglich eine php.ini in mein Rootverzeichnis legen muss und dann die Datei aus dem genannten Post ausführen soll. Soweit so gut, das habe ich gerade mal auf einer Testseite mit einem nackten phpBB mit aktuellem ct getestet und siehe da - jetzt wird es im ct grün angezeigt. Ich habe aber überhaupt nicht verstanden, wie nun Symlinks funktionieren. Auch diese Erklärung hat mir nicht weitergeholfen. Wo sind denn nun diese Symlinks eingetragen? Kann ich die irgendwo sehen?

Ach ja, und noch ne Frage, ich wollte dies nun natürlich auch auf meiner eigentlichen Homepage einsetzen. Ich bin mir aber nicht sicher, ob ich dies einfach machen kann oder ob dann evtl. noch weitere Änderung am phpBB oder dessen MODS gemacht werden müssten oder ob dann einfach alles so weiter funktioniert wie bisher?
1. 'Man muss das Unm?gliche versuchen, um das M?gliche zu erreichen!' (Hermann Hesse)
2. 'The best way to learn something is to get your hands dirty and do it!' (keine Ahnung))
3. http://www.thw-kamen-bergkamen.de
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Öhm, wie kommst Du auf "symlink"?
Damit legt PHP nur einen Link einer Datei an, ähnlich wie unter Windows eine Dateiverknüpfung...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
cbrkiter
Beiträge: 170
Registriert: Fr 26.Nov, 2004 01:30
Kontaktdaten:

Beitrag von cbrkiter »

Also, bei 1und1 muss für man mein Vorhaben wohl in jedes Unterverzeichnis eine eigene php.ini anlegen, in dem php-Dateien sind. Mit der genannten Datei in dem Post, brauch man aber nur eine php.ini erstellen und in das "root"-Verzeichnis meines Webspaces legen. Anschließend die configurephp aufrufen und in allen Unterverzeichnissen wird per Symlink auf die php.ini verwiesen.

Kannst Du mir noch folgen oder schreib ich gerade unwissend Nonsens? Ich habe mal die Datei angehangen. Vielleicht hilft das mehr. Funktionieren tut dies zumindest scheinbar. Ich raff nur nicht, wo ich diese Symlinks wiederfinden soll? Kann man die Verweise irgendwo sehen? Irgendwo müssen die doch gespeichert sein.
Dateianhänge
configurephp.zip
(3.29 KiB) 283-mal heruntergeladen
1. 'Man muss das Unm?gliche versuchen, um das M?gliche zu erreichen!' (Hermann Hesse)
2. 'The best way to learn something is to get your hands dirty and do it!' (keine Ahnung))
3. http://www.thw-kamen-bergkamen.de
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Nochmal:
Was willst Du mit symlinks?
Damit werden nur symbolische Links auf Dateien angelegt und Webserver haben zuweilen auch die Angewohnheit, Links nicht zu folgen!
Sprich bitte 1und1 an, wie Du das Problem lösen kannst.
Ich kenne deren Einrichtungen nicht, um hier gezielt helfen zu können...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
cbrkiter
Beiträge: 170
Registriert: Fr 26.Nov, 2004 01:30
Kontaktdaten:

Beitrag von cbrkiter »

Sorry oxpus. Nicht aufregen. Das es symbolische Links sind habe ich ja nun verstanden. Funktionieren tut es ja auch. Symlink wird hierbei nur verwendet, um nicht immer wieder in jedem Unterverzeichnis eine neue php.ini zu pflegen, falls man mal etwas verändert. Also alles im grünen Bereich. Ich wollte ja nur wissen, wo diese symbolischen Links für mich visualisiert sind, weil ich per FTP nirgends etwas auf meinem Webspace sehe. Und genau hierfür wollte ich eigentlich nur Klarheit. ;)
1. 'Man muss das Unm?gliche versuchen, um das M?gliche zu erreichen!' (Hermann Hesse)
2. 'The best way to learn something is to get your hands dirty and do it!' (keine Ahnung))
3. http://www.thw-kamen-bergkamen.de
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Kommt auf das Programm drauf an.
Wenn die Links versteckt angelegt werden, muss der FTP-Client diese versteckten Dateien auch anzeigen können. Bei einigen Programmen gibts dazu Optionen, die das erlauben, andere zeigen diese Dateien immer an.
Bei symbolischen Links kann es aber auch passieren, daß der FTP-Client diese ignoriert, weil sie eben nicht "real" existieren.
Auf der SSH-Konsole wären diese aber immer zu sehen. Muss da ja auch, sonst könnte der Webserver diese nicht verwenden...

Und aufgeregt habe ich mich noch lange nicht. Ich hatte nur bislang nicht verstanden, warum Du symbilosche Links verwenden willst, wenn es für die .htaccess vielleicht ganz andere (einfacherere) Lösungen geben könnte ;)
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Antworten