phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

phpbb.de sicher vor Hackern?

https://www.phpbb.de/community/viewtopic.php?t=138862

Seite 4 von 5

Verfasst: 29.12.2006 23:28
von scheibenbrot
S2B hat geschrieben:
scheibenbrot hat geschrieben:Wie genau muss ich denn vorgehen bzw. in welchen Dateien muss ich den namen config.php (wo includet wird) umbenennen??
Soweit ich weiß, wird die config.php nur in der common.php (und in der install.php) includet (bzw. in die Datei geschrieben). :wink:
Danke, das hat funktioniert, und wie kann ich Die Zahl für das Userlevel eines Admins und Mods ändern ?

Verfasst: 30.12.2006 15:54
von S2B
In der includes/constants.php. Allerdings würde ich davon eher abraten, vor allem, wenn du MODs installiert hast. Ich würde stattdessen vermehrt auf die Überprüfung der Benutzer mit Admin-Rechten setzen, z.B. so:
http://s2b-project.de/files/admin_privileges_on_acp.txt

Verfasst: 30.12.2006 16:50
von scheibenbrot
hm, ok
Also hier mal eine Zusammenfassung, wie man die config.php am besten Schützt:

1. die config.php umbenennen (hier im beispiel spiegel.php) und in einen Ordner z.B. papier (am besten ausgefallene Namen)
2. in der common.php die folgende Zeile ändern:

Code: Alles auswählen

include($phpbb_root_path . 'config'.$phpEx);
in diesem beispiel wäre es das:

Code: Alles auswählen

include($phpbb_root_path . 'papier/spiegel.'.$phpEx);
3. in der .htaccess den folgenden Code eintragen:

Code: Alles auswählen

<Files papier/spiegel.php> 
Deny from all 
</Files>
4. und jetzt per .htaccess den ordner "papier" mit einem ausgefallenem Passwort schützen

Jetzt sollte eure ehemalige config.php gut geschützt sein :wink:

Verfasst: 30.12.2006 17:14
von S2B
scheibenbrot hat geschrieben:4. und jetzt per .htaccess den ordner "papier" mit einem ausgefallenem Passwort schützen
Wenn der Ordner bzw. die Datei sowieso schon auf Deny from all gestellt ist, ist das unnötig. :wink:

Verfasst: 30.12.2006 17:32
von scheibenbrot
doppelt gemoppelt :D

Verfasst: 30.12.2006 19:44
von larsneo
mir ist nicht ganz klar, worin nun der eigentliche schutz einer derartigen config.php-umbenamung liegt. wenn man (z.b. via remote code-injektion über ein fehlerhaftes url-include etc.) die config.php zur ansicht bringen kann, kann man sich doch auch jede andere (wie auch immer geschütze) datei anschauen...
der einzig wirklich wirksame schutz wäre es wohl eher, die konfigurationsinformation ausserhalb der webroot zu speichern - dies ist im shared hosting allerdings in aller regel nicht möglich.

Verfasst: 30.12.2006 20:16
von S2B
larsneo hat geschrieben:mir ist nicht ganz klar, worin nun der eigentliche schutz einer derartigen config.php-umbenamung liegt. wenn man (z.b. via remote code-injektion über ein fehlerhaftes url-include etc.) die config.php zur ansicht bringen kann, kann man sich doch auch jede andere (wie auch immer geschütze) datei anschauen...
Das stimmt schon, allerdings weiß man dann nicht so genau, welche Datei man knacken muss. Das könnte man aber auch wieder in der common.php nachschauen, wenn man weiß, dass die config.php dort eingebunden wird... :D

Verfasst: 30.12.2006 20:23
von Jensemann
larsneo hat geschrieben:dies ist im shared hosting allerdings in aller regel nicht möglich.
Man könnte allerdings mal den Provider fragen, ob er dies einrichten könnte. Der Aufwand dafür dürfte in den meisten Fällen minimal sein. Confixx basierte Systeme, sicher auch viele andere, haben ja bereits einen FTP-Zugang ausserhalb des webroots - man muss erst in das Verzeichnis "html" wechseln um in den Webroot zu gelangen.

Das ist direkt ein Test um zu prüfen ob der Provider einer von vielen ist die keinen Schimmer von ihrem System haben oder ob er weiss, das er eine solche Änderung einfach durchführen kann.

Verfasst: 30.12.2006 20:50
von scheibenbrot
S2B hat geschrieben:
larsneo hat geschrieben:mir ist nicht ganz klar, worin nun der eigentliche schutz einer derartigen config.php-umbenamung liegt. wenn man (z.b. via remote code-injektion über ein fehlerhaftes url-include etc.) die config.php zur ansicht bringen kann, kann man sich doch auch jede andere (wie auch immer geschütze) datei anschauen...
Das stimmt schon, allerdings weiß man dann nicht so genau, welche Datei man knacken muss. Das könnte man aber auch wieder in der common.php nachschauen, wenn man weiß, dass die config.php dort eingebunden wird... :D
1. Denke ich ist es ein bisschen schwerer für den Hacker und 2. http://www.phpbb.de/common.php :wink:

Verfasst: 30.12.2006 21:18
von Kellergeist2
larsneo hat geschrieben:[...] dies ist im shared hosting allerdings in aller regel nicht möglich.
Das ist nicht ganz korrekt.
Ich habe auch "nur" ein Shared-Hosting-Paket und habe für jede Domain ein entsprechendes Unterverzeichnis in meinem "User-Root".
Die Domains zeigen direkt auf das entsprechende Unterverzeichnis, so dass ich nur per FTP an mein tatsächliches User-Root-Verzeichnis komme.
Über php käme ich dann wahrscheinlich ohne Probleme aus einem Domain-Verzeichnis auf das vorgelagerte Verzeichnis, ich muss halt nur die Server-internen Pfade \htdocs\user4711\bla\ verwenden, anstatt auf Domain-relative Pfade zu setzen.
Wie es genau funktionieren würde kann ich euch leider nicht sagen, da ich mich in der Web-Programmierung nicht auskenne, aber ich bin mir ziemlich sicher, dass ich hier mit meiner Theorie nicht falsch liegen dürfte.
Alle Zeiten sind UTC+02:00
Seite 4 von 5

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de