Sicherheitscheck ermittelt unsicheren Status
Sicherheitscheck ermittelt unsicheren Status
habe einpaar unsicherheiten
bei CrackerTracker
habe ich die Version 4.1.1 das Script sagt mir die neue Version wäre 4.1.8,
hier auf Oxpus.de finde ich aber nur die Version 4.1.7
bei PHP
habe ich die Version 4.3.10-16
wo finde ich die neue Version von PHP ? (4.4.3)
und zuguter letzt soll PHP Globals unsicher sein.
was mache bei PHP Globals ?
wie bringe ich das wieder alles in Ordnung und was muß ich dabei beachten?
bei CrackerTracker
habe ich die Version 4.1.1 das Script sagt mir die neue Version wäre 4.1.8,
hier auf Oxpus.de finde ich aber nur die Version 4.1.7
bei PHP
habe ich die Version 4.3.10-16
wo finde ich die neue Version von PHP ? (4.4.3)
und zuguter letzt soll PHP Globals unsicher sein.
was mache bei PHP Globals ?
wie bringe ich das wieder alles in Ordnung und was muß ich dabei beachten?
Zuletzt geändert von baytar am Mo 07.Aug, 2006 14:36, insgesamt 1-mal geändert.
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Ich hatte bei mir nur die Versionsnummer nicht aktualisiert, ansonsten wärst Du zum Download eh auf Cback's Seite gelandet.
Dann zu den einzelnen Punkten:
PHP und die Einstellung der register_global kannst Du nur ändern/aktualisieren, wenn Du einen Root Server hast.
Ansonsten musst Du Deinen Provider darum bitten.
Dann zu den einzelnen Punkten:
PHP und die Einstellung der register_global kannst Du nur ändern/aktualisieren, wenn Du einen Root Server hast.
Ansonsten musst Du Deinen Provider darum bitten.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
- Christian_N
- Beiträge: 1787
- Registriert: Sa 19.Feb, 2005 21:48
- Wohnort: Frankfurt am Main
- Kontaktdaten:
Nee wenn der Provider es richtig macht dann nicht, hab auch wo PHP 4.4.3 raus kam all-inkl.com angeschrieben gehabt und die haben es diesmal sofort geändert gehabt nicht so wie bei PHP 4.4.2 wo die mich um geduld gebitten hatten da die erst auf ein Testserver getestet haben die version ob es mit die andere funktionen dann keine problemen geben wird.
Aber nach ne Woche wo ich nochmal angefragt hatte hatte die es auch da dann Update.
Aber zu PHP Globals dieses kann man zumindste bei all-inkl.com mit ein simple eintrag in der .htaccess Datei auch deaktivieren dazu muss diese .htaccess Datei im root des Forum liegen.
Einfach diese Code einfügen in der .htaccess: falls es nicht klappt unterstützt es dein Provider nicht und dann muss es dein Provider sofern kein Root zugriff auf den Server, wie oxpus schon sagte in der php.ini ändern.
Aber nach ne Woche wo ich nochmal angefragt hatte hatte die es auch da dann Update.
Aber zu PHP Globals dieses kann man zumindste bei all-inkl.com mit ein simple eintrag in der .htaccess Datei auch deaktivieren dazu muss diese .htaccess Datei im root des Forum liegen.
Einfach diese Code einfügen in der .htaccess:
Code: Alles auswählen
php_flag register_globals off
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
- Christian_N
- Beiträge: 1787
- Registriert: Sa 19.Feb, 2005 21:48
- Wohnort: Frankfurt am Main
- Kontaktdaten:
Ja einfach den oben genannte code da an irgend einer stelle am beste am ende oder anfang der datei hinzufügen. wie die am ende genau aussieht kann ich ja schlecht sage da ich ja nicht weiss was alles in deiner .htaccess bereits is
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
- Christian_N
- Beiträge: 1787
- Registriert: Sa 19.Feb, 2005 21:48
- Wohnort: Frankfurt am Main
- Kontaktdaten:
Eine Orginal gibts da keine jedenfalls nicht bei ein phpBB Standard
Dann hängt sie doch einfach mal an, dann kann man ja mal schaun, den wie sagt oxpus so schön, die glaskugel ist defekt um sie zu befragen welche codes bereits drin sind *gg*
Dann hängt sie doch einfach mal an, dann kann man ja mal schaun, den wie sagt oxpus so schön, die glaskugel ist defekt um sie zu befragen welche codes bereits drin sind *gg*
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
ok hier so schaut die Datei aus
ist das so korrekt ?
Code: Alles auswählen
DirectoryIndex index.html index.htm portal.php index.php
# prevent hotlinks on gif images
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?mydomain\.de(/.*)?$ [NC]
RewriteRule .*\.(gif|jpe?g|png|bmp)$ - [F]
ist das so korrekt ?
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Vorsicht, beim Ändern der PHP-Einstellungen mittels .htaccess!
Je nachdem, wie PHP in den Webserver eingebunden ist, kann das zu einem 500er Fehler führen, also einem "Internal Server Error"!
Ich rate daher dringend davon ab.
Nur in der php.ini (ggf. durch den Provider) die Änderungen vornehmen. Das führt dann nicht zu Fehlern.
Je nachdem, wie PHP in den Webserver eingebunden ist, kann das zu einem 500er Fehler führen, also einem "Internal Server Error"!
Ich rate daher dringend davon ab.
Nur in der php.ini (ggf. durch den Provider) die Änderungen vornehmen. Das führt dann nicht zu Fehlern.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
- Christian_N
- Beiträge: 1787
- Registriert: Sa 19.Feb, 2005 21:48
- Wohnort: Frankfurt am Main
- Kontaktdaten:
ja soweit ok, aba deine domain heißt sicher nicht www.mydomain.de - da müsste schon deine URL eintragen damit es auch funktioniert.
EDIT: @oxpus, klar könnte passiern, aba dann kann man doch es wieder in der .htaccess rückgängig machen und dann sollte der fehler auch wieder weg sein oder?
Naja den code hab ich jedenfalls darmals von mein provider all-inkl.com bekommen, weil ich auch PHP Globals deaktiviert habe wollte.
Code: Alles auswählen
RewriteCond %{HTTP_REFERER} !^http://(www\.)?mydomain\.de(/.*)?$ [NC]
EDIT: @oxpus, klar könnte passiern, aba dann kann man doch es wieder in der .htaccess rückgängig machen und dann sollte der fehler auch wieder weg sein oder?
Naja den code hab ich jedenfalls darmals von mein provider all-inkl.com bekommen, weil ich auch PHP Globals deaktiviert habe wollte.
Zuletzt geändert von Christian_N am Mo 07.Aug, 2006 20:37, insgesamt 1-mal geändert.
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Klar, kann man, muss man eben probieren, es sei aber gewarnt, wenn plötzlich diese Seite auftaucht.
Auch, wenn der Provider die Einbindung von PHP plötzlich ändert (gute Provider informieren hierüber aber die Kunden), kann dann genau dieser bislang funktionierende Eintrag das Board unerreichbar machen. Zumindest per Browser...
Auch, wenn der Provider die Einbindung von PHP plötzlich ändert (gute Provider informieren hierüber aber die Kunden), kann dann genau dieser bislang funktionierende Eintrag das Board unerreichbar machen. Zumindest per Browser...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
- Christian_N
- Beiträge: 1787
- Registriert: Sa 19.Feb, 2005 21:48
- Wohnort: Frankfurt am Main
- Kontaktdaten:
Das stimmt, also ich bin ja bei all-inkl.com und bisher haben die mich über änderrungen am Server jedesmal rechtzeitig informiert auch da es auch ggf. zum ausfall kurzfristig der Seite kommen könnte dadurch.(gute Provider informieren hierüber aber die Kunden)
Weiss ja nicht beim welche provider baytar ist, aba hoffen wir das er auch bei ein guten ist
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Hm, kenne ich auch nicht, aber abwarten, ob die einen guten Service liefern.
Wechseln kann man ja immer noch.
Wechseln kann man ja immer noch.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
- Christian_N
- Beiträge: 1787
- Registriert: Sa 19.Feb, 2005 21:48
- Wohnort: Frankfurt am Main
- Kontaktdaten:
Find ich auch, das bekomm man ja mit der Zeit mit, wie die auf Supportanfrage reagiere ob schnell, ob zufriedenstellend etc. und besonders wenn man von die echt veraltete PHP Version auf die aktuelle 4.4.3 ein Update haben will und die es dann machen, den wenn auch denne die Sicherheit etwas wert ist würde die es eigentlich machen auch dann.
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
http://www.server4you.de
Da habe ich auch einen Server bestellt.
Und die Geschwindigkeit könnt Ihr auf Cback's Seite testen, der hat dort auch einen Server.
Aber bitte ansonsten wieder ontopic bleiben. Danke!
Da habe ich auch einen Server bestellt.
Und die Geschwindigkeit könnt Ihr auf Cback's Seite testen, der hat dort auch einen Server.
Aber bitte ansonsten wieder ontopic bleiben. Danke!
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
hmmm. ich probiere mich mal hier anzuknüpfen anstatt ein neues Thema aufzumachen.
Ich kann die php.ini auch nicht selber verändern und habe sowohl register_globals = on und safe_mode = off in der ct-Anzeige. Da ich bei 1und1 bin und ich bisher immer nur mitbekommen hatte, dass sie dies nicht ändern, habe ich bisher mit der Hoffnung auf Verschonung vor Übeltätern gelebt. Bisher ging ja auch alles gut. Die Änderung per htaccess geht übrigens auch nicht.
Jetzt habe ich aber durch ein Joomlaforum dieses gefunden, dass ich bei 1und1 lediglich eine php.ini in mein Rootverzeichnis legen muss und dann die Datei aus dem genannten Post ausführen soll. Soweit so gut, das habe ich gerade mal auf einer Testseite mit einem nackten phpBB mit aktuellem ct getestet und siehe da - jetzt wird es im ct grün angezeigt. Ich habe aber überhaupt nicht verstanden, wie nun Symlinks funktionieren. Auch diese Erklärung hat mir nicht weitergeholfen. Wo sind denn nun diese Symlinks eingetragen? Kann ich die irgendwo sehen?
Ach ja, und noch ne Frage, ich wollte dies nun natürlich auch auf meiner eigentlichen Homepage einsetzen. Ich bin mir aber nicht sicher, ob ich dies einfach machen kann oder ob dann evtl. noch weitere Änderung am phpBB oder dessen MODS gemacht werden müssten oder ob dann einfach alles so weiter funktioniert wie bisher?
Ich kann die php.ini auch nicht selber verändern und habe sowohl register_globals = on und safe_mode = off in der ct-Anzeige. Da ich bei 1und1 bin und ich bisher immer nur mitbekommen hatte, dass sie dies nicht ändern, habe ich bisher mit der Hoffnung auf Verschonung vor Übeltätern gelebt. Bisher ging ja auch alles gut. Die Änderung per htaccess geht übrigens auch nicht.
Jetzt habe ich aber durch ein Joomlaforum dieses gefunden, dass ich bei 1und1 lediglich eine php.ini in mein Rootverzeichnis legen muss und dann die Datei aus dem genannten Post ausführen soll. Soweit so gut, das habe ich gerade mal auf einer Testseite mit einem nackten phpBB mit aktuellem ct getestet und siehe da - jetzt wird es im ct grün angezeigt. Ich habe aber überhaupt nicht verstanden, wie nun Symlinks funktionieren. Auch diese Erklärung hat mir nicht weitergeholfen. Wo sind denn nun diese Symlinks eingetragen? Kann ich die irgendwo sehen?
Ach ja, und noch ne Frage, ich wollte dies nun natürlich auch auf meiner eigentlichen Homepage einsetzen. Ich bin mir aber nicht sicher, ob ich dies einfach machen kann oder ob dann evtl. noch weitere Änderung am phpBB oder dessen MODS gemacht werden müssten oder ob dann einfach alles so weiter funktioniert wie bisher?
1. 'Man muss das Unm?gliche versuchen, um das M?gliche zu erreichen!' (Hermann Hesse)
2. 'The best way to learn something is to get your hands dirty and do it!' (keine Ahnung))
3. http://www.thw-kamen-bergkamen.de
2. 'The best way to learn something is to get your hands dirty and do it!' (keine Ahnung))
3. http://www.thw-kamen-bergkamen.de
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Öhm, wie kommst Du auf "symlink"?
Damit legt PHP nur einen Link einer Datei an, ähnlich wie unter Windows eine Dateiverknüpfung...
Damit legt PHP nur einen Link einer Datei an, ähnlich wie unter Windows eine Dateiverknüpfung...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Also, bei 1und1 muss für man mein Vorhaben wohl in jedes Unterverzeichnis eine eigene php.ini anlegen, in dem php-Dateien sind. Mit der genannten Datei in dem Post, brauch man aber nur eine php.ini erstellen und in das "root"-Verzeichnis meines Webspaces legen. Anschließend die configurephp aufrufen und in allen Unterverzeichnissen wird per Symlink auf die php.ini verwiesen.
Kannst Du mir noch folgen oder schreib ich gerade unwissend Nonsens? Ich habe mal die Datei angehangen. Vielleicht hilft das mehr. Funktionieren tut dies zumindest scheinbar. Ich raff nur nicht, wo ich diese Symlinks wiederfinden soll? Kann man die Verweise irgendwo sehen? Irgendwo müssen die doch gespeichert sein.
Kannst Du mir noch folgen oder schreib ich gerade unwissend Nonsens? Ich habe mal die Datei angehangen. Vielleicht hilft das mehr. Funktionieren tut dies zumindest scheinbar. Ich raff nur nicht, wo ich diese Symlinks wiederfinden soll? Kann man die Verweise irgendwo sehen? Irgendwo müssen die doch gespeichert sein.
- Dateianhänge
-
- configurephp.zip
- (3.29 KiB) 293-mal heruntergeladen
1. 'Man muss das Unm?gliche versuchen, um das M?gliche zu erreichen!' (Hermann Hesse)
2. 'The best way to learn something is to get your hands dirty and do it!' (keine Ahnung))
3. http://www.thw-kamen-bergkamen.de
2. 'The best way to learn something is to get your hands dirty and do it!' (keine Ahnung))
3. http://www.thw-kamen-bergkamen.de
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Nochmal:
Was willst Du mit symlinks?
Damit werden nur symbolische Links auf Dateien angelegt und Webserver haben zuweilen auch die Angewohnheit, Links nicht zu folgen!
Sprich bitte 1und1 an, wie Du das Problem lösen kannst.
Ich kenne deren Einrichtungen nicht, um hier gezielt helfen zu können...
Was willst Du mit symlinks?
Damit werden nur symbolische Links auf Dateien angelegt und Webserver haben zuweilen auch die Angewohnheit, Links nicht zu folgen!
Sprich bitte 1und1 an, wie Du das Problem lösen kannst.
Ich kenne deren Einrichtungen nicht, um hier gezielt helfen zu können...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Sorry oxpus. Nicht aufregen. Das es symbolische Links sind habe ich ja nun verstanden. Funktionieren tut es ja auch. Symlink wird hierbei nur verwendet, um nicht immer wieder in jedem Unterverzeichnis eine neue php.ini zu pflegen, falls man mal etwas verändert. Also alles im grünen Bereich. Ich wollte ja nur wissen, wo diese symbolischen Links für mich visualisiert sind, weil ich per FTP nirgends etwas auf meinem Webspace sehe. Und genau hierfür wollte ich eigentlich nur Klarheit.
1. 'Man muss das Unm?gliche versuchen, um das M?gliche zu erreichen!' (Hermann Hesse)
2. 'The best way to learn something is to get your hands dirty and do it!' (keine Ahnung))
3. http://www.thw-kamen-bergkamen.de
2. 'The best way to learn something is to get your hands dirty and do it!' (keine Ahnung))
3. http://www.thw-kamen-bergkamen.de
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Kommt auf das Programm drauf an.
Wenn die Links versteckt angelegt werden, muss der FTP-Client diese versteckten Dateien auch anzeigen können. Bei einigen Programmen gibts dazu Optionen, die das erlauben, andere zeigen diese Dateien immer an.
Bei symbolischen Links kann es aber auch passieren, daß der FTP-Client diese ignoriert, weil sie eben nicht "real" existieren.
Auf der SSH-Konsole wären diese aber immer zu sehen. Muss da ja auch, sonst könnte der Webserver diese nicht verwenden...
Und aufgeregt habe ich mich noch lange nicht. Ich hatte nur bislang nicht verstanden, warum Du symbilosche Links verwenden willst, wenn es für die .htaccess vielleicht ganz andere (einfacherere) Lösungen geben könnte
Wenn die Links versteckt angelegt werden, muss der FTP-Client diese versteckten Dateien auch anzeigen können. Bei einigen Programmen gibts dazu Optionen, die das erlauben, andere zeigen diese Dateien immer an.
Bei symbolischen Links kann es aber auch passieren, daß der FTP-Client diese ignoriert, weil sie eben nicht "real" existieren.
Auf der SSH-Konsole wären diese aber immer zu sehen. Muss da ja auch, sonst könnte der Webserver diese nicht verwenden...
Und aufgeregt habe ich mich noch lange nicht. Ich hatte nur bislang nicht verstanden, warum Du symbilosche Links verwenden willst, wenn es für die .htaccess vielleicht ganz andere (einfacherere) Lösungen geben könnte
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!