.htaccess 2.0.18

Beitrag von **diegoriv** » Do 08.Dez, 2005 01:34

Deine phpBB Version: phpBB2 Plus 1.5.2
MODs: Ja
Dein Wissensstand: Einsteiger
Link zu Deinem Forum: [url]http://[/url]

PHP Version:
MySQL Version:

Was hast Du gemacht, bevor das Problem aufgetreten ist?

Was hast Du bereits versucht um das Problem zu lösen?

Fehlerbeschreibung und Nachricht

jetzt ist es passiert.

Ich hab heut den Suma-Mod exekutiert und damit ist meine htaccess auf ein viertel geschrumpft und irgendwie scheints auch, als wäre das board um einiges flotter.

Zur frage: 2.0.18 inkl cracker tracker - wie sieht denn da eine optimierte htaccess aus?

bei mir ist jetzt mal vorläufig das übriggeblieben:

Code: Alles auswählen

DirectoryIndex index.html index.htm portal.php index.php

RewriteEngine On 
# prevent access from santy webworm 
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*).system(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)union(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)UNION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)alert\(document(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SQL_INJECTION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)cmd
RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]
# prevent pre php 4.3.10 bug 
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b 
RewriteRule ^.*$ http://127.0.0.1/ [R,L] 
# prevent perl user agent (most often used by santy) 
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC] 
RewriteRule ^.*$ http://127.0.0.1/ [R,L]


#ErrorDocument 404 http://alpinum.at/index.php
#ErrorDocument 401 http://alpinum.at/index.php
#ErrorDocument 403 http://alpinum.at/index.php
#ErrorDocument 500 http://alpinum.at/index.php
#DirectoryIndex robot.php portal.php index.php index.html index.htm

#The next lines check for Email Spammers Robots and redirect them to a fake page
RewriteCond %{HTTP_USER_AGENT} ^EmailSiphon   [OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailWolf     [OR]
RewriteCond %{HTTP_USER_AGENT} ^ExtractorPro  [OR]
RewriteCond %{HTTP_USER_AGENT} ^CherryPicker  [OR]
RewriteCond %{HTTP_USER_AGENT} ^NICErsPRO     [OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailCollector
RewriteRule ^.*$ emailsforyou.php  [L]

brauch ich das alles oder fehlt was wesentliches?

//edit:
kann das sein, dass der suma-mod die queries verdoppelt hat????????????

ich hab plötzlich nur mehr 53 queries!!!!
das könnte dann auch die lösung für die geschichte sein, die ich vor einem halben jahr schon mal vom zaun gebrochen hab http://oxpus.de/viewtopic.php?t=3182&lighter=queries

Beitrag von **oxpus** » Do 08.Dez, 2005 07:49

Mit dem Cracker Tracker zusammen reicht das hier:

Code: Alles auswählen

DirectoryIndex index.html index.htm portal.php index.php

#ErrorDocument 404 http://alpinum.at/index.php
#ErrorDocument 401 http://alpinum.at/index.php
#ErrorDocument 403 http://alpinum.at/index.php
#ErrorDocument 500 http://alpinum.at/index.php
#DirectoryIndex robot.php portal.php index.php index.html index.htm

#The next lines check for Email Spammers Robots and redirect them to a fake page
RewriteCond %{HTTP_USER_AGENT} ^EmailSiphon   [OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailWolf     [OR]
RewriteCond %{HTTP_USER_AGENT} ^ExtractorPro  [OR]
RewriteCond %{HTTP_USER_AGENT} ^CherryPicker  [OR]
RewriteCond %{HTTP_USER_AGENT} ^NICErsPRO     [OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailCollector
RewriteRule ^.*$ emailsforyou.php  [L]

Beitrag von **blondi** » Do 08.Dez, 2005 15:53

RewriteRule ^.*$ emailsforyou.php [L]

was ist emailsforyou.php für eine datei ... muss man die erstellen wenn man den spam robots in den wind kicken will ...

oxpus bei mir steht das alles drinnen ....

was soll ich da raushauen, bzw. rein tun ...

RewriteEngine On

# prevent access from santy webworm
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent pre php 4.3.10 bug
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

DirectoryIndex index.html index.htm portal.php index.php
ErrorDocument 400 /error.php?error=400
ErrorDocument 401 /error.php?error=401
ErrorDocument 403 /error.php?error=403
ErrorDocument 404 /error.php?error=404
ErrorDocument 405 /error.php?error=405
ErrorDocument 408 /error.php?error=408
ErrorDocument 410 /error.php?error=410
ErrorDocument 411 /error.php?error=411
ErrorDocument 412 /error.php?error=412
ErrorDocument 413 /error.php?error=413
ErrorDocument 414 /error.php?error=414
ErrorDocument 415 /error.php?error=415
ErrorDocument 500 /error.php?error=500
ErrorDocument 501 /error.php?error=501
ErrorDocument 502 /error.php?error=502
ErrorDocument 503 /error.php?error=503
ErrorDocument 506 /error.php?error=506

RewriteCond %{REQUEST_FILENAME} /(.*)-f([0-9]*).html
RewriteRule (.*) viewforum.php?f=%2 [L]

RewriteCond %{REQUEST_FILENAME} /(.*)-f([0-9]*)-s([0-9]*).html
RewriteRule (.*) viewforum.php?f=%2&start=%3 [L]

RewriteCond %{REQUEST_FILENAME} /(.*)-f([0-9]*)-([0-9]*)-s([0-9]*).html
RewriteRule (.*) viewforum.php?f=%2&topicdays=%3&start=%4 [L]

RewriteCond %{REQUEST_FILENAME} /(.*)-t([0-9]*)-([0-9]*).html
RewriteRule (.*) viewtopic.php?t=%2&postdays=0&postorder=asc&start=%3 [L]

RewriteCond %{REQUEST_FILENAME} /(.*)-t([0-9]*)(.*).html
RewriteRule (.*) viewtopic.php?t=%2&highlight=%3 [L]
RewriteCond %{REQUEST_FILENAME} /(.*)-t([0-9]*)-p([0-9]*)-([0-9]*).html
RewriteRule (.*) viewtopic.php?t=%2&postdays=%3&postorder=asc&start=%4 [L]

RewriteCond %{REQUEST_FILENAME} /(.*)-t([0-9]*)-p([0-9]*)desc-([0-9]*).html
RewriteRule (.*) viewtopic.php?t=%2&postdays=%3&postorder=desc&start=%4 [L]

RewriteCond %{REQUEST_FILENAME} /(.*)-t([0-9]*)-p([0-9]*)desc.html
RewriteRule (.*) viewtopic.php?t=%2&postdays=%3&postorder=desc [L]

RewriteCond %{REQUEST_FILENAME} /(.*)-t([0-9]*)-p([0-9]*).html
RewriteRule (.*) viewtopic.php?t=%2&postdays=%3&postorder=asc&start=0 [L]

Beitrag von **oxpus** » Do 08.Dez, 2005 17:07

Nur das:

Code: Alles auswählen

RewriteEngine On 

# prevent pre php 4.3.10 bug 
RewriteCond %{HTTP_COOKIE}% s.*):\%22test1\%22\%3b 
RewriteRule ^.*$ http://127.0.0.1/ [R,L] 

# prevent Perl user agent (most often used by santy) 
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC] 
RewriteRule ^.*$ http://127.0.0.1/ [R,L] 

DirectoryIndex index.html index.htm portal.php index.php 
ErrorDocument 400 /error.php?error=400 
ErrorDocument 401 /error.php?error=401 
ErrorDocument 403 /error.php?error=403 
ErrorDocument 404 /error.php?error=404 
ErrorDocument 405 /error.php?error=405 
ErrorDocument 408 /error.php?error=408 
ErrorDocument 410 /error.php?error=410 
ErrorDocument 411 /error.php?error=411 
ErrorDocument 412 /error.php?error=412 
ErrorDocument 413 /error.php?error=413 
ErrorDocument 414 /error.php?error=414 
ErrorDocument 415 /error.php?error=415 
ErrorDocument 500 /error.php?error=500 
ErrorDocument 501 /error.php?error=501 
ErrorDocument 502 /error.php?error=502 
ErrorDocument 503 /error.php?error=503 
ErrorDocument 506 /error.php?error=506

um auch die Short URL's abzuschalten.
Ansonsten nimm den "unteren" Teil wieder dazu.

Beitrag von **blondi** » Do 08.Dez, 2005 18:18

oxpus ist dir schon aufgefallen, das im code das pfeil image mit angezeigt wird ....

Beitrag von **diegoriv** » Do 08.Dez, 2005 18:35

warum braucht blondi diesen codeteil

Code: Alles auswählen

RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent pre php 4.3.10 bug
RewriteCond %{HTTP_COOKIE}% sfrown.*):\%22test1\%22\%3b
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent Perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

und ich nicht??? *verwirrtbin*

Beitrag von **oxpus** » Do 08.Dez, 2005 19:44

Öh, ist Geschmacksache. Kommt

A. auf die PHP-Version an (je älter desto dringender)
B. Rewrite Rules für Short URLs Ja = Dieser Block auch JA.

Beitrag von **SchwarzeGenetik** » Mi 04.Jul, 2007 13:14

Hi ihr!

also ich hab das 1.53a 2.0.22 mit CrackerTracker 5.0.3.
was muß ich noch ändern muß mein board voll sicher zumachen was htaccess betrifft?

z.Z. hab ich:

- die config.php ist außerhalb vom root hinterlegt.
- in der htaccess vom forenroot steht folgendes:

<Files config.php>
Deny from all
</Files>

DirectoryIndex portal.php index.html

RewriteEngine On

############################################################

# prevent access from santy webworm a-e
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)union(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)UNION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)alert\(document(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SQL_INJECTION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent pre php 4.3.10 bug
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

müßte ich hier noch was ändern?

dann möchte ich verzeichnisse im forenroot schützen mit:

order deny,allow
deny from all
allow from localhost 127.0.0.1

ist das ok? und welche ordner soll ich schützen?

na denn, Gruß SG

Beitrag von **oxpus** » Mi 04.Jul, 2007 13:20

Die .htaccess wäre ausreichend, aber den Forenroot NIEMALS mit "deny from all" sperren, da man ansonsten das Forum nicht mehr nutzen kann!
Der erste Aufruf ist schliesslich IMMER extern und nie von localhost/127.0.0.1

Mehr musst Du aber auch nicht machen, mehr habe ich auch nicht eingerichtet, was das Forum selber betrifft...

Beitrag von **SchwarzeGenetik** » Mi 04.Jul, 2007 13:29

man bist du wieder schnell

aber mein forum läuft schon mit dieser htaccess im forumroot:

<Files config.php>
Deny from all
</Files>

hab bis jetzt keine probleme. aber wenn du sagst das gehört da nich rein, dann mach ichs raus.

nur wie schütz ich dann meine config.php vor zugriff?

und was is mit die anderen ordner? was soll ich da rein machen?

Beitrag von **oxpus** » Mi 04.Jul, 2007 13:32

Warum die config.php verschieben?
Die ist doch von aussen gar nicht aufrufbar, zumindest nicht so, daß man den Inhalt lesen könnte.
Auch eine Verschlüsselung der Daten, wie das diverse MODs machen, ist eigentlich überflüssig...

Beitrag von **SchwarzeGenetik** » Mi 04.Jul, 2007 13:41

meinste!

naja, ich dachte immer das die hacker eben solche programme haben die das dann auslesen können.
aber ich glaub jetzt auch immer mehr das hacker nur über ftp an die daten kommen.
da ich mein pw ständig ändere sollte das nicht der fall sein.

soll ich da den verzeichnissschutz garnich machen?
überall ließt man das man z.b. den includes-ordner schützen soll ....

was is nun das richige? und nur das notwendige! denn wenns zuspät is, isses zuspät...

Beitrag von **oxpus** » Mi 04.Jul, 2007 13:57

includes/
downloads/
db/
admin/
images/
cache/
wäre die Ordner, die schützenswert wären.
Wobei ich sogar den Admin-Ordner mit einer Passwortabfrage schützen würde.
Gar nicht ist auch falsch...

Beitrag von **SchwarzeGenetik** » Mi 04.Jul, 2007 14:01

cool, danke!

und das mach ich dann mit:

order deny,allow
deny from all
allow from localhost 127.0.0.1

oder?

dann noch ne frage:
ich hab eine php.ini im web-root liegen mein forum-root ist /phpBB2/.
wie kann ich denn dann die php.ini schützen?
denn die kann ich ja aufrufen und sehe alle einstellungen...

Beitrag von **oxpus** » Mi 04.Jul, 2007 15:09

Eine php.ini im Webroot?
Uiuiui.....
Nun ja, pack sowas in die .htaccess:

Code: Alles auswählen

<files php.ini>
deny from all
</files>

Frage ist aber, ob man den Webroot überhaupt aufrufen kann.
Wenn nicht, wäre dieser Eintrag überflüssig...

Beitrag von **SchwarzeGenetik** » Mi 04.Jul, 2007 15:24

danke schön!

naja, anders bekomm ich die einstellungen nicht hin:
PHP GLOBALS = off
PHP SAFE MODE = on

vom proviter her kommst so:
PHP GLOBALS = on
PHP SAFE MODE = off

wo soll ich die denn da hin tun? oder was meinste mit uiiii....?

aso, wenn ich:
order deny,allow
deny from all

in den images-ordner tu, zeigts z.b. keine avatars mehr an. also geht der schonmal nich...

Beitrag von **oxpus** » Mi 04.Jul, 2007 15:36

in den images-ordner tu, zeigts z.b. keine avatars mehr an. also geht der schonmal nich

Jein. Kommt auf die Zugriffsrechte und Einstellungen des Webservers an.

Und zur php.ini:
Frag eher Deinen Provider, ob der nicht besser seinen Server abdichten will, also die "eigentliche" php.ini ändert.
Beide Einstellungen so zu belassen ist mittlerweile ein hohes Sicherheitsrisiko geworden, dessen sich "seriöse" Provider bewusst sind (teilweise lassen die garkeine anderen Einstellungen seitens der Kunden zu).
Eine php.ini im Web-Root ist jedenfalls immer eine schlechte Lösung.
Besser wäre es die Angaben in einer .htaccess unterzubringen.
Hier eine gute Beschreibung, was man da besser machen kann, als eine eigene php.ini zu erstellen: http://www.tanmar.info/content/view/26/64/

Beitrag von **SchwarzeGenetik** » Mi 04.Jul, 2007 15:42

danke schön für die infos.
also ich bi bei domaingo und bin voll zufrieden da. hab mit den schon gesprochen. was sicherheit betrifft, hat er das selbe gesagt. nur verlangen bestimmt großkunden wie mambo, oder so, das dies funktionen eben so sein sollen weil wohl sonst ihre systeme nich richtig arbeiten...

Beitrag von **oxpus** » Mi 04.Jul, 2007 16:02

Mambo läuft nur mit register_globals = on?????
Oha, ein Grund mehr einen weiten Bogen um dieses CMS System zu machen!!!

Und anstelle viel Geld für die Werbung in dieses CMS auszugeben, sollten die mal eher an dieser Stelle einen Moment länger an die Sicherheit denken.
Man und das wollen Profis sein

tztztztz.....

Beitrag von **SchwarzeGenetik** » Mi 04.Jul, 2007 16:50

also ich hab gleich nochmal bei domaingo angerufen und die sagten das es kein risiko ist wenn man die phph.ini ins root/ setzt, da man mit diesen daten sowieso nichts anfangen könnte. schützen per .htaccess wäre noch vorteilhaft. dann is alles genauso sicher.

weswegen hattest du denn bedenken oxpus?

werd die php.ini aber ins forenroot packen und da sichern...

Beitrag von **oxpus** » Mi 04.Jul, 2007 17:20

Wenn jemand die php.ini anschauen kann (durch was auch immer), kann er Einstellungen entdecken, die hilfreich sein könnten, in den Server einzubrechen.
Daher ist diese Datei immer ausser Reichweite vom Internet zu stellen!
Und im Forumroot, wo erst recht jeder hin kommt, würde ich die schon gar nicht packen.
Dann kannst Du gleich allen Hackern das Root-Passwort geben!

Nicht umsonst ist die Datei wirklich ausserhalb jeglicher Reichweite Dritten gegenüber. Also in Verzeichnissen, in denen der Webserver NICHT arbeitet!
Besser wären wirklich Änderungen an der php-Konfiguration mittels httpd.conf oder .htaccess wie in dem zuletzt von mit verlinkten Post zu erlesen. Das ist deutlich sicherer und funktioniert auch...

Ich würde jedenfalls keinem Kunden erlauben, eine eigene php.ini verwenden zu dürfen/können.

Beitrag von **SchwarzeGenetik** » Mi 04.Jul, 2007 17:29

hm... da hast du recht!

ich werd mir mal die sachen mit httpd.conf und .htaccess ansehn, obwohl der mir gesagt hat, das die php.ini bei denen mit .htaccess nicht zu ändern sei...

Beitrag von **oxpus** » Mi 04.Jul, 2007 18:53

Die php.ini nicht, aber die PHP-Einstellungen schon

Nur zeugt das nicht gerade von einem wirklich guten Provider, wenn solche Dinge so, naja, "schlecht" zu lösen sind.