Seite 1 von 1
.htaccess Datei im Root schon ausreichend ?
Verfasst: So 31.Jul, 2005 17:24
von tom10
Also ich hab mir heute mal eine .htaccess Datei erstellt und diese in Root gelegt. Soweit so gut. Nun frag ich mich aber gerade ob das schon ausreichend war oder ob da noch so eine "password" oder was auch immer Datei noch dazu gehört ?
In der Datei sieht es so aus:
Code: Alles auswählen
DirectoryIndex index.html intro.php portal.php index.php index.htm
RewriteEngine On
# prevent access from santy webworm
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
# prevent pre php 4.3.10 bug
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
# prevent perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
Die oberste zeile muste ich einfügen, da sonst nur das Forum und nicht das portal geladen wurde.
Kann mich da mal jemand aufklären ob das nun so richtig ist oder noch was fehlt oder so ? ^7
Verfasst: So 31.Jul, 2005 17:46
von Max
Code: Alles auswählen
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
Dieser Teil wurde in einem der Ctracker-Threads als modernere Version gebracht. (ich weiß grade nicht den Poster davon)
Um Dir aber die Sucherei zu ersparen, hier noch mal:
Code: Alles auswählen
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*).system(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)union(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)UNION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)alert\(document(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SQL_INJECTION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)cmd
RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]
Seit dem Austausch des älteren Teils, den ich hier zuerst zitiert habe, gegen den neueren hat der Ctracker bei mir entschieden weniger zu tun, scheint also besser zu sein.
Gruß Max
Verfasst: So 31.Jul, 2005 21:45
von blondi
und was macht man bei WINDOOF ISS
???
Verfasst: So 31.Jul, 2005 21:47
von oxpus
Im Root darf auch kein Passwort-Schutz rein, sonst muss jeder User dieses Passwort kennen
Verfasst: So 31.Jul, 2005 22:00
von Max
[quote="oxpus - So 31.Jul, 2005 21:47";p="40360"]Im Root darf auch kein Passwort-Schutz rein, sonst muss jeder User dieses Passwort kennen
[/quote]
Aber dann ist die Seite recht sicher
Wieso funktionieren .htaccess unter Windows nicht?
Lokal bei mir klappt zumindest die Möglichkeit
DirectoryIndex - ich dachte es sollte ein Apache-Server sein, also dass das eher vom Server abhängt als vom OS.
Oder irre ich da, bzw bin zu uninformiert?
Gruß Max
Verfasst: Mo 01.Aug, 2005 12:26
von oxpus
Ja, das ist abhängig vom Webserver und funktioniert unter Windows ebenfalls perfekt.