phpbb.de sicher vor Hackern?

[scheibenbrot]

Wie genau muss ich denn vorgehen bzw. in welchen Dateien muss ich den namen config.php (wo includet wird) umbenennen??

Soweit ich weiß, wird die config.php nur in der common.php (und in der install.php) includet (bzw. in die Datei geschrieben).

Danke, das hat funktioniert, und wie kann ich Die Zahl für das Userlevel eines Admins und Mods ändern ?

[S2B]

In der includes/constants.php. Allerdings würde ich davon eher abraten, vor allem, wenn du MODs installiert hast. Ich würde stattdessen vermehrt auf die Überprüfung der Benutzer mit Admin-Rechten setzen, z.B. so:
http://s2b-project.de/files/admin_privileges_on_acp.txt

[scheibenbrot]

hm, ok
Also hier mal eine Zusammenfassung, wie man die config.php am besten Schützt:

1. die config.php umbenennen (hier im beispiel spiegel.php) und in einen Ordner z.B. papier (am besten ausgefallene Namen)
2. in der common.php die folgende Zeile ändern:

Code: Alles auswählen

include($phpbb_root_path . 'config'.$phpEx);

in diesem beispiel wäre es das:

Code: Alles auswählen

include($phpbb_root_path . 'papier/spiegel.'.$phpEx);

3. in der .htaccess den folgenden Code eintragen:

Code: Alles auswählen

<Files papier/spiegel.php> 
Deny from all 
</Files>

4. und jetzt per .htaccess den ordner "papier" mit einem ausgefallenem Passwort schützen

Jetzt sollte eure ehemalige config.php gut geschützt sein

[S2B]

4. und jetzt per .htaccess den ordner "papier" mit einem ausgefallenem Passwort schützen

Wenn der Ordner bzw. die Datei sowieso schon auf Deny from all gestellt ist, ist das unnötig.

[scheibenbrot]

doppelt gemoppelt

[larsneo]

mir ist nicht ganz klar, worin nun der eigentliche schutz einer derartigen config.php-umbenamung liegt. wenn man (z.b. via remote code-injektion über ein fehlerhaftes url-include etc.) die config.php zur ansicht bringen kann, kann man sich doch auch jede andere (wie auch immer geschütze) datei anschauen...
der einzig wirklich wirksame schutz wäre es wohl eher, die konfigurationsinformation ausserhalb der webroot zu speichern - dies ist im shared hosting allerdings in aller regel nicht möglich.

[S2B]

mir ist nicht ganz klar, worin nun der eigentliche schutz einer derartigen config.php-umbenamung liegt. wenn man (z.b. via remote code-injektion über ein fehlerhaftes url-include etc.) die config.php zur ansicht bringen kann, kann man sich doch auch jede andere (wie auch immer geschütze) datei anschauen...

Das stimmt schon, allerdings weiß man dann nicht so genau, welche Datei man knacken muss. Das könnte man aber auch wieder in der common.php nachschauen, wenn man weiß, dass die config.php dort eingebunden wird...

[Jensemann]

dies ist im shared hosting allerdings in aller regel nicht möglich.

Man könnte allerdings mal den Provider fragen, ob er dies einrichten könnte. Der Aufwand dafür dürfte in den meisten Fällen minimal sein. Confixx basierte Systeme, sicher auch viele andere, haben ja bereits einen FTP-Zugang ausserhalb des webroots - man muss erst in das Verzeichnis "html" wechseln um in den Webroot zu gelangen.

Das ist direkt ein Test um zu prüfen ob der Provider einer von vielen ist die keinen Schimmer von ihrem System haben oder ob er weiss, das er eine solche Änderung einfach durchführen kann.

[scheibenbrot]

mir ist nicht ganz klar, worin nun der eigentliche schutz einer derartigen config.php-umbenamung liegt. wenn man (z.b. via remote code-injektion über ein fehlerhaftes url-include etc.) die config.php zur ansicht bringen kann, kann man sich doch auch jede andere (wie auch immer geschütze) datei anschauen...

Das stimmt schon, allerdings weiß man dann nicht so genau, welche Datei man knacken muss. Das könnte man aber auch wieder in der common.php nachschauen, wenn man weiß, dass die config.php dort eingebunden wird...

1. Denke ich ist es ein bisschen schwerer für den Hacker und 2. http://www.phpbb.de/common.php

[Kellergeist2]

[...] dies ist im shared hosting allerdings in aller regel nicht möglich.

Das ist nicht ganz korrekt.
Ich habe auch "nur" ein Shared-Hosting-Paket und habe für jede Domain ein entsprechendes Unterverzeichnis in meinem "User-Root".
Die Domains zeigen direkt auf das entsprechende Unterverzeichnis, so dass ich nur per FTP an mein tatsächliches User-Root-Verzeichnis komme.
Über php käme ich dann wahrscheinlich ohne Probleme aus einem Domain-Verzeichnis auf das vorgelagerte Verzeichnis, ich muss halt nur die Server-internen Pfade \htdocs\user4711\bla\ verwenden, anstatt auf Domain-relative Pfade zu setzen.
Wie es genau funktionieren würde kann ich euch leider nicht sagen, da ich mich in der Web-Programmierung nicht auskenne, aber ich bin mir ziemlich sicher, dass ich hier mit meiner Theorie nicht falsch liegen dürfte.