Diskussion zu phpBB wieder ein beliebtes Angriffsziel

Projekte der phpBB.de-Community und Feedback zu phpBB.de.
Antworten
IPB_Flüchtling
Mitglied
Beiträge: 1862
Registriert: 23.12.2004 22:46

Re: register_globals=off & magic_quotes_gpc=on

Beitrag von IPB_Flüchtling »

larsneo hat geschrieben:ich denke, es wäre schon ganz sinnvoll im acp auf register_globals=off und magic_quotes_gpc=on zu prüfen - alleine mit diesen beiden einstellungen kann man eine menge an typischen exploit-code unterbinden - und bei nahezu jedem provider kann man das - falls nicht bereits in der default-konfig eingetragen - via .htaccess nachträglich setzen.
Hi larsneo,

könntest Du vielleicht, wenn es Deine Zeit erlaubt, mehr zu diesem Thema schreiben? *bitte*bitte*bitte*

Habe gerade den CrackerTracker-Sicherheitscheck durchgeführt und folgende Ergebnisse erhalten:
PHP Safe Mode deaktiviert UNSICHER
PHP Globals aktiviert UNSICHER
Kann ich da wirklich einfach über .htaccess gegensteuern? Wenn ja, wie? Welche potenziellen Probleme sind zu befürchten?

Ich weiß, dass meine Fragen gerade jetzt, kurz vor dem Jahreswechsel, eine ziemliche Zumutung darstellen. Wenn Du trotzdem irgendwann einmal die Zeit finden solltest, einem Blinden die Farben zu erklären, wäre das toll!

Auf jeden Fall wünsche ich einen guten Rutsch und alles Gute für 2006!

LG, IPB_Flüchtling
Nach oben
snookerboy
Mitglied
Beiträge: 15
Registriert: 29.12.2005 10:56

Beitrag von snookerboy »

Das Update von der 0.17 zur 0.18 war mit der Anleitung überhaupt keine Problem.
Selbst jemand wie ich, mit rudimentärem Hintergrundwissen hat das locker hinbekommen.

Bisher waren es zwei Faker nach dem Update. Vorher warens locker 10 - 15 am Tag.

Hat sich also schon mal gelohnt.

Peter
Nach oben
Benutzeravatar
larsneo
Mitglied
Beiträge: 2622
Registriert: 07.03.2002 15:23
Wohnort: schwäbisch gmünd
Kontaktdaten:
Kontaktdaten von larsneo

Beitrag von larsneo »

PHP Safe Mode deaktiviert UNSICHER
PHP Globals aktiviert UNSICHER
Kann ich da wirklich einfach über .htaccess gegensteuern? Wenn ja, wie? Welche potenziellen Probleme sind zu befürchten?
soweit dein provider die verwendung von .htaccess erlaubt kannst du dort

Code: Alles auswählen

# set magic quotes settings on
php_flag magic_quotes_gpc on
# set register_globals=off
php_flag register_globals off
setzen (siehe auch *hier*).
erweiterungen die mit diesen einstellungen probleme haben sollten imho schlichtweg ausgesondert werden, da sie aller wahrscheinlichkeit nach generelle sicherheitsprobleme haben.

weitere infos:
using register globals
magic quotes
gruesse aus dem wilden sueden
larsneo
..::[krapohl.net]::..
Nach oben
snookerboy
Mitglied
Beiträge: 15
Registriert: 29.12.2005 10:56

Beitrag von snookerboy »

Hi,

wie müsste denn eine Verzeichnis .htaccess komplett aussehen?

Ich hab mir eine erstellt und entsprechend hochgeladen, bekomme aber dann einen Fehler und das Forum wird nicht geöffnet.

Sorry, aber so viel Ahnung hab ich leider net...

Gruß

Peter
Nach oben
Benutzeravatar
S2B
Ehemaliges Teammitglied
Beiträge: 3258
Registriert: 10.08.2004 22:48
Wohnort: Aachen
Kontaktdaten:
Kontaktdaten von S2B

Beitrag von S2B »

@larsneo: Was bringt es denn, die magic_quotes anzuschalten? Soweit ich das sehe, verwendet das phpBB doch eine eigene Routine und schaltet die Magic Quotes davor aus!?
Gruß, S2B
Keinen Support per ICQ/PM!
Hier kann man meine PHP-Skripte und meine MODs für phpBB runterladen.
Nach oben
h-o
Mitglied
Beiträge: 385
Registriert: 09.08.2004 16:17

Beitrag von h-o »

larsneo hat geschrieben:soweit dein provider die verwendung von .htaccess erlaubt kannst du dort

Code: Alles auswählen

php_flag magic_quotes_gpc on
[...]
Hmm, das funktioniert normalerweise nur, falls PHP auf dem Apacheserver als Modul läuft.

Die meisten Hoster verwenden aber die CGI-Variante - hier gibt's mit "php_flag ..." in der .htaccess einen "Internal Server Error".

ciao
h-o
Nach oben
Benutzeravatar
DSB
Mitglied
Beiträge: 172
Registriert: 21.08.2004 12:31
Wohnort: bei Bremen
Kontaktdaten:
Kontaktdaten von DSB

Beitrag von DSB »

S2B hat geschrieben:@larsneo: Was bringt es denn, die magic_quotes anzuschalten? Soweit ich das sehe, verwendet das phpBB doch eine eigene Routine und schaltet die Magic Quotes davor aus!?
Für phpBB mag das stimmen aber es laufen ja bestimmt noch andere Scripte auf einem Server. Magic_quotes=on bringt etwas mehr Sicherheit - gerade bei Scripten, die nicht unbedingt von Sicherheitsprofis programmiert wurden.
Du glaubst ja gar nicht wie viele unsicher programmierte Gästebücher, Counter, Bannerverwaltungen, Linklisten, toplisten, usw... es gibt, bei denen man durch einfache SQL-Injection in sicherheitsrelevante Bereiche kommt und Schaden anrichten kann.
Bei den neueren PHP-Versionen hat PHP da selbst einen Riegel vorgeschoben, aber es gibt immer noch sehr viele Server auf denen alte Versionen laufen (siehe z.B. die Standard-PHP-Version auf Stratoservern).
Nach oben
Benutzeravatar
nils754
Mitglied
Beiträge: 283
Registriert: 25.02.2005 22:46

Beitrag von nils754 »

So Leute,

phpBB 2.0.19 ist da. Also updaten!!! ;)
Nach oben
IPB_Flüchtling
Mitglied
Beiträge: 1862
Registriert: 23.12.2004 22:46

Beitrag von IPB_Flüchtling »

@larsneo:

Vielen Dank für den .htaccess-Code und die Links! Werde ich mir zu Gemüte führen, sobald mein Board auf dem Stand 2.0.19 angekommen ist.

Einen guten Rutsch Euch allen und die besten Wünsche für 2006!

LG, IPB_Flüchtling
Nach oben
snookerboy
Mitglied
Beiträge: 15
Registriert: 29.12.2005 10:56

Beitrag von snookerboy »

So,

das Update ist gemacht, jetzt schaun wir mal ob wieder Fakeaccounts auftauchen...

Jetzt brauch ich nmur noch ne funktionierende Lösung für die Gasteintragsfaker... Die kommen nämlich seit gestern Abend rein...Leider.

Hat da von Euch jemand evtl.ne Lösung?

Gruß

Peter
Nach oben
Antworten

Zurück zu „Community Talk“