Seite 1 von 2
Sicherheitscheck ermittelt unsicheren Status
Verfasst: Mo 07.Aug, 2006 14:31
von baytar
habe einpaar unsicherheiten
bei CrackerTracker
habe ich die Version 4.1.1 das Script sagt mir die neue Version wäre 4.1.8,
hier auf Oxpus.de finde ich aber nur die Version 4.1.7
bei PHP
habe ich die Version 4.3.10-16
wo finde ich die neue Version von PHP ? (4.4.3)
und zuguter letzt soll
PHP Globals unsicher sein.
was mache bei PHP Globals ?
wie bringe ich das wieder alles in Ordnung und was muß ich dabei beachten?
Verfasst: Mo 07.Aug, 2006 15:32
von oxpus
Ich hatte bei mir nur die Versionsnummer nicht aktualisiert, ansonsten wärst Du zum Download eh auf Cback's Seite gelandet.
Dann zu den einzelnen Punkten:
PHP und die Einstellung der register_global kannst Du nur ändern/aktualisieren, wenn Du einen Root Server hast.
Ansonsten musst Du Deinen Provider darum bitten.
Verfasst: Mo 07.Aug, 2006 16:58
von baytar
danke Dir Oxpus,
mit meinem Board passiert doch nichts wenn mein Provider die Updates macht oder ?
Verfasst: Mo 07.Aug, 2006 17:14
von Christian_N
Nee wenn der Provider es richtig macht dann nicht, hab auch wo PHP 4.4.3 raus kam all-inkl.com angeschrieben gehabt und die haben es diesmal sofort geändert gehabt nicht so wie bei PHP 4.4.2 wo die mich um geduld gebitten hatten da die erst auf ein Testserver getestet haben die version ob es mit die andere funktionen dann keine problemen geben wird.
Aber nach ne Woche wo ich nochmal angefragt hatte hatte die es auch da dann Update.
Aber zu PHP Globals dieses kann man zumindste bei all-inkl.com mit ein simple eintrag in der .htaccess Datei auch deaktivieren dazu muss diese .htaccess Datei im root des Forum liegen.
Einfach diese Code einfügen in der .htaccess:
falls es nicht klappt unterstützt es dein Provider nicht und dann muss es dein Provider sofern kein Root zugriff auf den Server, wie oxpus schon sagte in der php.ini ändern.
Verfasst: Mo 07.Aug, 2006 19:07
von baytar
wie muss denn htaccess aussehen ?
ich meine im ganzen mit dem Code zusammen, denn bin bei meiner datei nicht so sicher ¢¦
Verfasst: Mo 07.Aug, 2006 19:33
von Christian_N
Ja einfach den oben genannte code da an irgend einer stelle am beste am ende oder anfang der datei hinzufügen. wie die am ende genau aussieht kann ich ja schlecht sage da ich ja nicht weiss was alles in deiner .htaccess bereits is
Verfasst: Mo 07.Aug, 2006 19:44
von baytar
hatte idiotischerweise damit etwas rumgespielt,
jetzt weiss ich nicht wie das Original aussehen soll
Verfasst: Mo 07.Aug, 2006 19:58
von Christian_N
Eine Orginal gibts da keine jedenfalls nicht bei ein phpBB Standard
Dann hängt sie doch einfach mal an, dann kann man ja mal schaun, den wie sagt oxpus so schön, die glaskugel ist defekt um sie zu befragen welche codes bereits drin sind *gg*
Verfasst: Mo 07.Aug, 2006 20:06
von baytar
ok hier so schaut die Datei aus
Code: Alles auswählen
DirectoryIndex index.html index.htm portal.php index.php
# prevent hotlinks on gif images
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?mydomain\.de(/.*)?$ [NC]
RewriteRule .*\.(gif|jpe?g|png|bmp)$ - [F]
ist das so korrekt ?
Verfasst: Mo 07.Aug, 2006 20:09
von oxpus
Vorsicht, beim Ändern der PHP-Einstellungen mittels .htaccess!
Je nachdem, wie PHP in den Webserver eingebunden ist, kann das zu einem 500er Fehler führen, also einem "Internal Server Error"!
Ich rate daher dringend davon ab.
Nur in der php.ini (ggf. durch den Provider) die Änderungen vornehmen. Das führt dann nicht zu Fehlern.
Verfasst: Mo 07.Aug, 2006 20:14
von baytar
OK ich lass die Finger von
Verfasst: Mo 07.Aug, 2006 20:36
von Christian_N
ja soweit ok, aba
Code: Alles auswählen
RewriteCond %{HTTP_REFERER} !^http://(www\.)?mydomain\.de(/.*)?$ [NC]
deine domain heißt sicher nicht
www.mydomain.de - da müsste schon deine URL eintragen damit es auch funktioniert.
EDIT: @oxpus, klar könnte passiern, aba dann kann man doch es wieder in der .htaccess rückgängig machen und dann sollte der fehler auch wieder weg sein oder?
Naja den code hab ich jedenfalls darmals von mein provider all-inkl.com bekommen, weil ich auch PHP Globals deaktiviert habe wollte.
Verfasst: Mo 07.Aug, 2006 20:54
von oxpus
Klar, kann man, muss man eben probieren, es sei aber gewarnt, wenn plötzlich diese Seite auftaucht.
Auch, wenn der Provider die Einbindung von PHP plötzlich ändert (gute Provider informieren hierüber aber die Kunden), kann dann genau dieser bislang funktionierende Eintrag das Board unerreichbar machen. Zumindest per Browser...
Verfasst: Mo 07.Aug, 2006 20:59
von Christian_N
(gute Provider informieren hierüber aber die Kunden)
Das stimmt, also ich bin ja bei all-inkl.com und bisher haben die mich über änderrungen am Server jedesmal rechtzeitig informiert auch da es auch ggf. zum ausfall kurzfristig der Seite kommen könnte dadurch.
Weiss ja nicht beim welche provider baytar ist, aba hoffen wir das er auch bei ein guten ist
Verfasst: Mo 07.Aug, 2006 21:48
von baytar
bin beim Sprintweb.de
ob er gut ist weiss ich nicht, da mein erster provider
und daher keine vergleichsmöglichkeit
Verfasst: Di 08.Aug, 2006 11:07
von oxpus
Hm, kenne ich auch nicht, aber abwarten, ob die einen guten Service liefern.
Wechseln kann man ja immer noch.
Verfasst: Di 08.Aug, 2006 13:15
von Christian_N
Find ich auch, das bekomm man ja mit der Zeit mit, wie die auf Supportanfrage reagiere ob schnell, ob zufriedenstellend etc. und besonders wenn man von die echt veraltete PHP Version auf die aktuelle 4.4.3 ein Update haben will und die es dann machen, den wenn auch denne die Sicherheit etwas wert ist würde die es eigentlich machen auch dann.
Verfasst: Di 08.Aug, 2006 13:32
von baytar
Wechseln ist gut
sagt mal ihr alten Hasen (oder Häsinnen) wo finde ich einen schnellen Server,
am liebsten Traffik unlimited zu vernünftigen konditionen ?
Verfasst: Di 08.Aug, 2006 14:49
von oxpus
http://www.server4you.de
Da habe ich auch einen Server bestellt.
Und die Geschwindigkeit könnt Ihr auf
Cback's Seite testen, der hat dort auch einen Server.
Aber bitte ansonsten wieder
ontopic bleiben. Danke!
Verfasst: Fr 02.Feb, 2007 23:58
von cbrkiter
hmmm. ich probiere mich mal hier anzuknüpfen anstatt ein neues Thema aufzumachen.
Ich kann die php.ini auch nicht selber verändern und habe sowohl register_globals = on und safe_mode = off in der ct-Anzeige. Da ich bei 1und1 bin und ich bisher immer nur mitbekommen hatte, dass sie dies nicht ändern, habe ich bisher mit der Hoffnung auf Verschonung vor Übeltätern gelebt. Bisher ging ja auch alles gut. Die Änderung per htaccess geht übrigens auch nicht.
Jetzt habe ich aber durch ein Joomlaforum
dieses gefunden, dass ich bei 1und1 lediglich eine php.ini in mein Rootverzeichnis legen muss und dann die Datei aus dem genannten Post ausführen soll. Soweit so gut, das habe ich gerade mal auf einer Testseite mit einem nackten phpBB mit aktuellem ct getestet und siehe da - jetzt wird es im ct grün angezeigt. Ich habe aber überhaupt nicht verstanden, wie nun Symlinks funktionieren. Auch
diese Erklärung hat mir nicht weitergeholfen. Wo sind denn nun diese Symlinks eingetragen? Kann ich die irgendwo sehen?
Ach ja, und noch ne Frage, ich wollte dies nun natürlich auch auf meiner eigentlichen Homepage einsetzen. Ich bin mir aber nicht sicher, ob ich dies einfach machen kann oder ob dann evtl. noch weitere Änderung am phpBB oder dessen MODS gemacht werden müssten oder ob dann einfach alles so weiter funktioniert wie bisher?
Verfasst: Sa 03.Feb, 2007 09:59
von oxpus
Öhm, wie kommst Du auf "symlink"?
Damit legt PHP nur einen Link einer Datei an, ähnlich wie unter Windows eine Dateiverknüpfung...
Verfasst: Sa 03.Feb, 2007 11:00
von cbrkiter
Also, bei 1und1 muss für man mein Vorhaben wohl in jedes Unterverzeichnis eine eigene php.ini anlegen, in dem php-Dateien sind. Mit der genannten Datei in dem Post, brauch man aber nur eine php.ini erstellen und in das "root"-Verzeichnis meines Webspaces legen. Anschließend die configurephp aufrufen und in allen Unterverzeichnissen wird per Symlink auf die php.ini verwiesen.
Kannst Du mir noch folgen oder schreib ich gerade unwissend Nonsens? Ich habe mal die Datei angehangen. Vielleicht hilft das mehr. Funktionieren tut dies zumindest scheinbar. Ich raff nur nicht, wo ich diese Symlinks wiederfinden soll? Kann man die Verweise irgendwo sehen? Irgendwo müssen die doch gespeichert sein.
Verfasst: Sa 03.Feb, 2007 11:57
von oxpus
Nochmal:
Was willst Du mit symlinks?
Damit werden nur symbolische Links auf Dateien angelegt und Webserver haben zuweilen auch die Angewohnheit, Links nicht zu folgen!
Sprich bitte 1und1 an, wie Du das Problem lösen kannst.
Ich kenne deren Einrichtungen nicht, um hier gezielt helfen zu können...
Verfasst: Sa 03.Feb, 2007 12:06
von cbrkiter
Sorry oxpus. Nicht aufregen. Das es symbolische Links sind habe ich ja nun verstanden. Funktionieren tut es ja auch. Symlink wird hierbei nur verwendet, um nicht immer wieder in jedem Unterverzeichnis eine neue php.ini zu pflegen, falls man mal etwas verändert. Also alles im grünen Bereich. Ich wollte ja nur wissen, wo diese symbolischen Links für mich visualisiert sind, weil ich per FTP nirgends etwas auf meinem Webspace sehe. Und genau hierfür wollte ich eigentlich nur Klarheit.
Verfasst: Sa 03.Feb, 2007 12:50
von oxpus
Kommt auf das Programm drauf an.
Wenn die Links versteckt angelegt werden, muss der FTP-Client diese versteckten Dateien auch anzeigen können. Bei einigen Programmen gibts dazu Optionen, die das erlauben, andere zeigen diese Dateien immer an.
Bei symbolischen Links kann es aber auch passieren, daß der FTP-Client diese ignoriert, weil sie eben nicht "real" existieren.
Auf der SSH-Konsole wären diese aber immer zu sehen. Muss da ja auch, sonst könnte der Webserver diese nicht verwenden...
Und aufgeregt habe ich mich noch lange nicht. Ich hatte nur bislang nicht verstanden, warum Du symbilosche Links verwenden willst, wenn es für die .htaccess vielleicht ganz andere (einfacherere) Lösungen geben könnte