Datenbank sicher unter phpbb2 ?

[coolsoft]

Die .htaccess ist eine vesrteckte Datei, die nur Deinem Webserver zugänglich ist, dessen Einstellungen ergänzt.
(im Prinzip - die Störerer gehen meist einen anderen weil einfachren Weg)

setz mal zusätzlich mindestens das rein:

Code: Alles auswählen

 RewriteEngine On 
 RewriteBase / 
 RewriteCond %{QUERY_STRING}   (.*)=http://(.*) 
 RewriteRule ^(.*)  - [F] 
 RewriteCond %{QUERY_STRING}   (.*)=ftp://(.*) 
 RewriteRule ^(.*)  - [F] 
 
RewriteCond %{HTTP_REFERER} ^http://www\.cuill\.com [NC]
RewriteRule ^(.*)  - [F] 

Das verhindert, dass bekannte phpbb2 Dateien mit Parametern aufgerufen werden um Schädlinge einzubringen.
Für den Forenbetrieb hats keine Auswirkungen.
Wenn Du einen err 500 bekommst nochmal melden, dann lässt Dein Provider mod_rewrite nicht zu (inzwischen aber nicht mehr üblich)

edit:
hast Du Dein Forum auf einem Unterverzweichnis: "Rewritebase" anpassen!

[TheMorpheus2000]

im Prinzip - die Störerer gehen meist einen anderen weil einfachren Weg

Störerer = Störer, von die Störenden?

edit: hast Du Dein Forum auf einem Unterverzweichnis: "Rewritebase" anpassen!

Verstehe den Satz nicht ganz

Ich vermute in diesem Quelltext muss ich meine TLD noch einsetzten bei http: und ftp: ? Was hat das mit dem Cuill/.com auf sich ?

lg morph

//EDIT: Wäre das auch empfehlendswert für phpbb3 Foren ?

[coolsoft]

jaaa - Schreibfehler : Störer, Hacker, Cracker - wie auch immer Du willst
------

Code: Alles auswählen

RewriteBase /

sagt : gilt ab root (Webspace) -
Du müsstest also /forum eintragen, falls Du Dein Forum aus Sicht des FTP unter "/forum" hast
oder halt "/" lassen, wenn Deine Domain direkt auf / zeigt -
- so besser?

http: / ftp: haben da nix verloren
cuill kannst Du vernachlässigen - war nur bei mir ein lästiger Robot mit immens Traffic und ohne Nutzwert.

[coolsoft]

das ist grundsätzlich nicht falsch - nur bb3 ist da vom System her schon besser abgeschottet.

[TheMorpheus2000]

Nagut, schön langsam verstehe ich ^^

Könnte man den Quellcode von dir reduzieren?

d.H.:

Code: Alles auswählen

RewriteEngine On
RewriteBase /

du sagtest ja, http und ftp haben da nix verloren, und cuill (für mich) ebenfalls

lg morph

[coolsoft]

nochmal:

Code: Alles auswählen

RewriteCond %{QUERY_STRING}   (.*)=http://(.*) 
RewriteRule ^(.*)  - [F] 
RewriteCond %{QUERY_STRING}   (.*)=ftp://(.*) 
RewriteRule ^(.*)  - [F] 

IST ENTSCHEIDEND!

[TheMorpheus2000]

Ok, ich war nur etwas verunsichert, weil du in deiner vorletzten antwort sagtest, ftp / http braucht man nicht ...

werds mal ausprobieren, danke

[TheMorpheus2000]

So sieht meine .htaccess aktuell aus, meint ihr das reicht?

Code: Alles auswählen

<Files "config.php">
Deny from All
</Files>

<Files "common.php">
Deny from All
</Files>

DirectoryIndex portal.php index.php index.html index.htm

RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING}   (.*)=http://mydomain.com/(.*)
RewriteRule ^(.*)  - [F]
RewriteCond %{QUERY_STRING}   (.*)=ftp://mydomain.com/(.*)
RewriteRule ^(.*)  - [F] 

In dem Artikel Wie mache ich mein Board sicher habe ich noch folgendes gelesen:
Die config.php muss nicht von außen zugänglich sein. Daher könnt ihr den Zugriff auf die Datei per .htaccess ausschließen - für PHP greift dieser Schutz nicht, so dass das Forum weiterhin funktioniert. Gleiches gilt auch für das Verzeichnis /db/, /includes/ und /language/.

Wie führe ich dies praktisch durch? Zusätzliche Einträge in der .htaccess Datei? Wie würden diese dann aussehen?
//EDIT: Ich meine das Absichern der Folder: /db/, /includes/ und /language/.

danke & lg,
morph

[Mahony]

Hallo

Die config.php muss nicht von außen zugänglich sein. Daher könnt ihr den Zugriff auf die Datei per .htaccess ausschließen - für PHP greift dieser Schutz nicht, so dass das Forum weiterhin funktioniert. Gleiches gilt auch für das Verzeichnis /db/, /includes/ und /language/.

Wie führe ich dies praktisch durch?

Wie du das machst, steht doch im Artikel http://www.phpbb.de/kb/artikel.php?artikel=36

erstellt im phpBB-Verzeichnis eine neue config.php mit folgendem Inhalt:

Code: Alles auswählen

<?php
    require('/directory/config.php');
?>

Dabei müsst ihr die Pfadangabe entsprechend anpassen.

Zusätzliche Einträge in der .htaccess Datei? Wie würden diese dann aussehen?
//EDIT: Ich meine das Absichern der Folder: /db/, /includes/ und /language/.

Schau mal hier http://www.phpbb.de/community/viewtopic ... 985#733985


Grüße: Mahony

[TheMorpheus2000]

Hallo Mahony, danke. Manchesmal sieht man eben den Wald vor lauter Bäumen nicht mehr ...

Wenn ich das also richtig verstanden habe, muss eine neue .htaccess in jeden der Order die ich schützen möchte mit folgendem Eintrag (d.H. auch für jeden Subfolder dieser Ordner?):

Code: Alles auswählen

<Files "*.php">
   Order Allow,Deny
   Deny from All
</Files>

Dazu habe ich eine Frage: Die zweite Zeile: Order Allow,Deny - ist die Wichtig? Sollte ich die auch in meine roots .htaccess Datei übernehmen?

Danke nochmal
Morph

//EDIT:

Habe eben ne htaccess in mein /admin/ - verzeichnis gepackt - klappt bestens-jetzt müsste ja mein Adminbereich bestens geschützt sein!?

In welchen Forenordnern ist diese Maßnahme noch sinnvoll?

Wenn ich aber eine .htaccess Datei in mein /admin Verzeichniss lege habe ich selber ja auch keinen Zugriff mehr auf das ACP !?
Gibts da eine Lösung?