>>split: So mache ich mein Board sicher

[BananaJoe]

Ne Frage zu "register_globals=off". Kann es passieren das manche Mods nicht mehr funktionieren wenn die Funktion auf "off" gesetzt wird? Gibt es sonstige Einschränkungen??

[mgutt]

Wenn ein Mod deswegen nicht geht, dann ist dieser ziemlich leichtsinnig programmiert bzw. einfach nur von einem Noob.

Gruß

[gn#36]

Register_globals sollte eigentlich - außer dass eben die Autoglobalen $_POST ... nicht mehr als "normale" globale eingefügt werden - keine Auswirkungen haben. Was die Mods angeht gebe ich mgutt recht: Wenn ein Mod deswegen nicht funktioniert dann sollte man die Finger davon lassen. Nicht umsonst ist register_globals keine Standardeinstellung mehr (in aktuelleren Versionen) und wenn ich mich nicht irre wurde diese Einstellung in der aktuellsten PHP Version sogar ganz abgeschafft.

[mgutt]

mein aktueller vorschlag:

Code: Alles auswählen

<Files config.php> 
Deny from all 
</Files>

DirectoryIndex index.htm index.php index.html

# Note: If you receive an Server Error Message "500" contact
# your local provider to let him set this configs

# Note: "safe_mode" can only been set in php.ini OR httpd.conf
# "safe_mode = off" is recommend, but only if your server
# has set more security configs. Otherwise "on" is recommend

# allow register globals
php_flag register_globals off

# allow backslash escaping for Get / Post / Cookie
php_flag magic_quotes_gpc on

# forbid files without extensions
# it can only been set if AllowOverride is set
AcceptPathInfo off

RewriteEngine on

# security settings
RewriteCond %{QUERY_STRING} ^(.*)wget\%20 [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)fetch\%20 [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)passthru(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)\.printf\( [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)cmd [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)\%27(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)"(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)\%22(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)`(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)\%60(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)\%25(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)=http://(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)=http\%3A\%2F\%2F(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)=ftp://(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)=ftp\%3A\%2F\%2F(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)=https://(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)=https\%3A\%2F\%2F(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)alert\(document(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)union(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)sql_injection(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)phpbb_root_path=(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)configdir(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)curl(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)lynx(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)w3\%20(.*) [OR,NC]
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b [OR,NC]
RewriteCond %{QUERY_STRING} .*'.* [OR,NC]
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [OR,NC]
RewriteCond %{HTTP_USER_AGENT} ^Python* [OR,NC]
RewriteCond %{HTTP_USER_AGENT} Twiceler-0.9 [OR,NC]
RewriteCond %{HTTP_USER_AGENT} Baiduspider+ [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

plus in den verzeichnissen:

db/
languages/
templates/{TEMPLATENAME}/admin/

eine .htaccess mit diesem inhalt:

Code: Alles auswählen

<Limit GET POST PUT>
Order Allow,Deny
Deny from All
</Limit>

im Ordner:

includes/

diese .htaccess (weil da manche noch js Dateien drin haben):

Code: Alles auswählen

<FilesMatch "\.php$" >
deny from all
</FilesMatch>

Wie bekannt, sollten diese Verzeichnisse gelöscht sein:

contrib/
docs/
install/
bzw. häufig andere install_***/ - Verzeichnisse

Gruß
Marc

[mgutt]

Backupdatei im Adminpanel:
Ich empfehle die komplette Löschung der Datei
admin/admin_db_utilities.php

Diese Datei ermöglich im ACP die Erstellung und Wiederherstellung von Backups. Leider könnte ein Hacker aber mit einem Admin-Account auch andere SQL-Befehle einschleusen. Simpelste Befehle reichen da schon aus, die komplette Datenbank zu zerschießen.

Auch sollte eigentlich bekannt sein, dass das Backup-Tool unzuverlässig ist, gerade dann wenn das Forum und damit die Datenbank größer geworden ist. Daher besser: alternative Backupmöglichkeiten nutzen und die Datei komplett entfernen.

Passwörter von Admins und Mods:
Weiterhin solltet ihr eure Admins und Mods dazu verpflichten das Passwort in eurem Forum so zu wählen, dass es nur bei Euch existiert und aus mindestens acht Stellen besteht, die durcheinander aus Zahlen und Buchstaben gewählt wurden. Es kam zu einem Fall, in dem jemand das Passwort eines Moderators herausfand und sogar in einem zweiten fremden Forum auf Löschtour ging.

Persönlichkeitsrechte beachten
Ich für meinen Teil schütze das Adminverzeichnis wie empfohlen zusätzlich mit einer .htaccess. Das solltet ihr in jedem Fall machen, wenn ihr weitere Admins im Team habt, die keinen Einblick ins ACP gewährt bekommen sollen. Andere Admins dürfen übrigens rechtlich gesehen unter Umständen keinen Einblick ins ACP haben, da deren Namen nicht in den Nutzungsbedingungen bzw. im Impressum aufgeführt sind. D.h. wenn andere Admins ebenfalls private Daten einsehen können, dann könnte es sein, dass ihr euch strafbar macht (z.B. wenn ihr Feld hinzugefügt habt, die private Daten wie Telefon, Adresse, etc. enthalten). Es könnte sogar schon zutreffen, wenn bei Euch die Emailadressen der Nutzer in Klarschrift erkennbar sind (wenn die Funktion "Email über das Board" deaktiviert ist), da Admins unabhängig der Nutzereinstellung die Emailadresse sehen können.

[xchrissix95]

Ich hab noch einen Tipp.
Ich wuerde in der ACP den Rang Site Admin loeschen sonst sieht man ja das und dann bringt der beste Name nichts.

[wolvieh]

Gibt's dann so einen Guide fürs 3er auch?

[Gumfuzi]

Hat jemand schon Olympus mit PHPIDS laufen, bringt das Teil etwas bzw. wie wirkt es sich bei Olympus in puncto Speed aus?
http://php-ids.org/faq/
Ist es eine sinnvolle Ergänzung zu den hier angeführten htaccess-Beispielen?

[DexXx]

Hi!
Ich habe ein Problem mit .htacces. Jedes mal wenn ich .htacces und .htpasswd in meinem hauptverzeichnis hab, kriege ich einen Internal Server Error. Ich hab mir den kompletten thread schon durchgelesen aba es hat mir nich wirklich weiter geholfen. Ich hab mir die Dateien sogar generieren lassen aba ich bekomme entweder imma diesen Fehler oder ich komme ohne Passwort in den Admin Bereich...wo genau muss ich die .htacces und .htpasswd hinpacken? Und wie mache ich das mit der Pfad.php und der Config.php? In der Anleitung steht ja das man die Dateien in dem Verzeichnis ablegen soll was geschützt werden soll aba die config.php liegt ja im Hauptverzeichnis und da liegen ja auch alle anderen Dateien. Hoffe ihr könnt mir helfen, weil ich das jetz schon seit geschlagenen 7 stunden probiere.

mfg DexXx

[Gumfuzi]

Hat jemand schon Olympus mit PHPIDS laufen, bringt das Teil etwas bzw. wie wirkt es sich bei Olympus in puncto Speed aus?
http://php-ids.org/faq/
Ist es eine sinnvolle Ergänzung zu den hier angeführten htaccess-Beispielen?

hat da schon jemand Erfahrungswerte? Würde mich über eine kurze Info freuen.