Seite 2 von 3
Re: Datenbank sicher unter phpbb2 ?
Verfasst: 08.07.2009 19:55
von coolsoft
Die .htaccess ist eine vesrteckte Datei, die nur Deinem Webserver zugänglich ist, dessen Einstellungen ergänzt.
(im Prinzip - die Störerer gehen meist einen anderen weil einfachren Weg)
setz mal zusätzlich mindestens das rein:
Code: Alles auswählen
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (.*)=http://(.*)
RewriteRule ^(.*) - [F]
RewriteCond %{QUERY_STRING} (.*)=ftp://(.*)
RewriteRule ^(.*) - [F]
RewriteCond %{HTTP_REFERER} ^http://www\.cuill\.com [NC]
RewriteRule ^(.*) - [F]
Das verhindert, dass bekannte phpbb2 Dateien mit Parametern aufgerufen werden um Schädlinge einzubringen.
Für den Forenbetrieb hats keine Auswirkungen.
Wenn Du einen err 500 bekommst nochmal melden, dann lässt Dein Provider mod_rewrite nicht zu (inzwischen aber nicht mehr üblich)
edit:
hast Du Dein Forum auf einem Unterverzweichnis: "Rewritebase" anpassen!
Re: Datenbank sicher unter phpbb2 ?
Verfasst: 08.07.2009 21:40
von TheMorpheus2000
coolsoft hat geschrieben:im Prinzip - die Störerer gehen meist einen anderen weil einfachren Weg
Störerer = Störer, von die Störenden?
coolsoft hat geschrieben:edit: hast Du Dein Forum auf einem Unterverzweichnis: "Rewritebase" anpassen!
Verstehe den Satz nicht ganz
Ich vermute in diesem Quelltext muss ich meine TLD noch einsetzten bei http: und ftp: ? Was hat das mit dem Cuill/.com auf sich ?
lg morph
//EDIT: Wäre das auch empfehlendswert für phpbb3 Foren ?
Re: Datenbank sicher unter phpbb2 ?
Verfasst: 08.07.2009 21:47
von coolsoft
jaaa - Schreibfehler : Störer, Hacker, Cracker - wie auch immer Du willst
------
sagt : gilt ab root (Webspace) -
Du müsstest also /forum eintragen, falls Du Dein Forum aus Sicht des FTP unter "/forum" hast
oder halt "/" lassen, wenn Deine Domain direkt auf / zeigt -
- so besser?
http: / ftp: haben da nix verloren
cuill kannst Du vernachlässigen - war nur bei mir ein lästiger Robot mit immens Traffic und ohne Nutzwert.
Re: Datenbank sicher unter phpbb2 ?
Verfasst: 08.07.2009 21:48
von coolsoft
das ist grundsätzlich nicht falsch - nur bb3 ist da vom System her schon besser abgeschottet.
Re: Datenbank sicher unter phpbb2 ?
Verfasst: 08.07.2009 22:00
von TheMorpheus2000
Nagut, schön langsam verstehe ich ^^
Könnte man den Quellcode von dir reduzieren?
d.H.:
du sagtest ja, http und ftp haben da nix verloren, und cuill (für mich) ebenfalls
lg morph
Re: Datenbank sicher unter phpbb2 ?
Verfasst: 08.07.2009 22:05
von coolsoft
nochmal:
Code: Alles auswählen
RewriteCond %{QUERY_STRING} (.*)=http://(.*)
RewriteRule ^(.*) - [F]
RewriteCond %{QUERY_STRING} (.*)=ftp://(.*)
RewriteRule ^(.*) - [F]
IST ENTSCHEIDEND!
Re: Datenbank sicher unter phpbb2 ?
Verfasst: 08.07.2009 22:19
von TheMorpheus2000
Ok, ich war nur etwas verunsichert, weil du in deiner vorletzten antwort sagtest, ftp / http braucht man nicht ...
werds mal ausprobieren, danke
Re: Datenbank sicher unter phpbb2 ?
Verfasst: 09.07.2009 23:58
von TheMorpheus2000
So sieht meine .htaccess aktuell aus, meint ihr das reicht?
Code: Alles auswählen
<Files "config.php">
Deny from All
</Files>
<Files "common.php">
Deny from All
</Files>
DirectoryIndex portal.php index.php index.html index.htm
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (.*)=http://mydomain.com/(.*)
RewriteRule ^(.*) - [F]
RewriteCond %{QUERY_STRING} (.*)=ftp://mydomain.com/(.*)
RewriteRule ^(.*) - [F]
In dem Artikel
Wie mache ich mein Board sicher habe ich noch folgendes gelesen:
Die config.php muss nicht von außen zugänglich sein. Daher könnt ihr den Zugriff auf die Datei per .htaccess ausschließen - für PHP greift dieser Schutz nicht, so dass das Forum weiterhin funktioniert. Gleiches gilt auch für das Verzeichnis /db/, /includes/ und /language/.
Wie führe ich dies praktisch durch? Zusätzliche Einträge in der .htaccess Datei? Wie würden diese dann aussehen?
//EDIT: Ich meine das Absichern der Folder: /db/, /includes/ und /language/.
danke & lg,
morph
Re: Datenbank sicher unter phpbb2 ?
Verfasst: 10.07.2009 00:08
von Mahony
Hallo
Die config.php muss nicht von außen zugänglich sein. Daher könnt ihr den Zugriff auf die Datei per .htaccess ausschließen - für PHP greift dieser Schutz nicht, so dass das Forum weiterhin funktioniert. Gleiches gilt auch für das Verzeichnis /db/, /includes/ und /language/.
Wie führe ich dies praktisch durch?
Wie du das machst, steht doch im Artikel
http://www.phpbb.de/kb/artikel.php?artikel=36
erstellt im phpBB-Verzeichnis eine neue config.php mit folgendem Inhalt:
Dabei müsst ihr die Pfadangabe entsprechend anpassen.
Zusätzliche Einträge in der .htaccess Datei? Wie würden diese dann aussehen?
//EDIT: Ich meine das Absichern der Folder: /db/, /includes/ und /language/.
Schau mal hier
http://www.phpbb.de/community/viewtopic ... 985#733985
Grüße: Mahony
Re: Datenbank sicher unter phpbb2 ?
Verfasst: 10.07.2009 00:31
von TheMorpheus2000
Hallo Mahony, danke. Manchesmal sieht man eben den Wald vor lauter Bäumen nicht mehr ...
Wenn ich das also richtig verstanden habe, muss eine neue .htaccess in jeden der Order die ich schützen möchte mit folgendem Eintrag (d.H. auch für jeden Subfolder dieser Ordner?):
Code: Alles auswählen
<Files "*.php">
Order Allow,Deny
Deny from All
</Files>
Dazu habe ich eine Frage: Die zweite Zeile:
Order Allow,Deny - ist die Wichtig? Sollte ich die auch in meine roots .htaccess Datei übernehmen?
Danke nochmal
Morph
//EDIT: kidrob hat geschrieben:Habe eben ne htaccess in mein /admin/ - verzeichnis gepackt - klappt bestens-jetzt müsste ja mein Adminbereich bestens geschützt sein!?
In welchen Forenordnern ist diese Maßnahme noch sinnvoll?
Wenn ich aber eine .htaccess Datei in mein /admin Verzeichniss lege habe ich selber ja auch keinen Zugriff mehr auf das ACP !?
Gibts da eine Lösung?