Seite 40 von 57
Verfasst: 06.02.2008 10:05
von Seether
[BTK] Tobi hat geschrieben:
Code: Alles auswählen
RewriteEngine On
RewriteCond %{QUERY_STRING} (.*)=http://(.*) [OR]
RewriteCond %{QUERY_STRING} (.*)=https://(.*) [OR]
RewriteCond %{QUERY_STRING} (.*)=ftp://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)UNION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SQL_INJECTION(.*)
RewriteRule (.*) http://127.0.0.1 [L,R=301]
Stimmt der Code so?
Hatte es gestern mal getestet und es funktionierte nicht. Bei mir klappt es mit:
Code: Alles auswählen
RewriteCond %{QUERY_STRING} ^(.*)=http://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=https://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=ftp://(.*) [OR]
Man beachte die
^ Zeichen
Verfasst: 06.02.2008 10:12
von cYbercOsmOnauT
Ich denke mal, er hat überall gelesen, dass es zur Strafanzeige gekommen ist und will nun seinen Kopf aus der Schlinge ziehen. Aber selbst wenn er "nur Vermittler" wäre, wäre er dran. Warum sollte jemand den Vermittler spielen, wenn er den anderen nicht gut kennt, oder es ihm keinen Vorteil bringt? Mitgefangen, mitgehangen heisst es nicht umsonst in der Justizwelt. Ich denke immer noch, dass es nun nur Ausflüchte eines verängstigten Jungen sind, der sich nicht bewusst war, welche Wellen seine "Schaut mal wie toll ich bin"-Aktion schlagen würde.
Verfasst: 06.02.2008 12:24
von darkon
Eine Wertschätzung?
Das ist doch wohl die mit Abstand idiotischste Ausrede die ich gehört habe... dem wird einfach nur der Ar*** auf Grundeis laufen.
Verfasst: 06.02.2008 13:05
von Sani9000
Nun darf wieder geflamt und rum geheult werden.
Hallo,
ich muss gestehen, das ich die >40 Seiten Posts nicht ALLE komplett durchgelesen habe, aber als reiner Benutzer "anderer" Software (WL) bin ich doch wirklich erstaunt, wie gesittet im allgemeinen der Thread hier doch abläuft und wie Ihr hier die Admin´s unterstützt.
Feine Community hier!
Gruß
Verfasst: 06.02.2008 13:06
von Jan500
kannst ja zu uns rüberwechseln
Verfasst: 06.02.2008 13:19
von hoheidt
[BTK] Tobi hat geschrieben:Ein Schutz der aber recht gut gegen die meisten Angriffsversuche hilft und unschöne Einträge im Log vermeidet währe wie weiter oben schon gepostet ein Eintrag in der .htaccess, vorausgesetzt der Server unterstützt mod_rewrite
Code: Alles auswählen
RewriteEngine On
RewriteCond %{QUERY_STRING} (.*)=http://(.*) [OR]
RewriteCond %{QUERY_STRING} (.*)=https://(.*) [OR]
RewriteCond %{QUERY_STRING} (.*)=ftp://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)UNION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SQL_INJECTION(.*)
RewriteRule (.*) http://127.0.0.1 [L,R=301]
Das verhindert das Sachen wie domain.tld?mode=
http://crackerseite.tld/böses-script.txt aufgerufen und so durch eine Sicherheitslücke ausgeführt werden können. Alle solchen versuche werden einfach zu dem Rechner der versucht hat das aufzurufen zurück geleitet.
Muss der Eintrag nur in die .htaccess im root oder muss so eine .htaccess in jedes Verzeichnis?
Nebenbei: Dieser Thread strotzt nur so vor "Ich will hier raus" und "selber Schuld" und irgendwelchen anderen unproduktiven Beiträgen, die keinem helfen. Das macht es sehr schwer, die Beiträge herauszufiltern, die wirklich nützlich sind.
Verfasst: 06.02.2008 13:21
von NBthekiller
Root sollte eigentlich reichen
Verfasst: 06.02.2008 13:32
von RubberDuck
hoheidt hat geschrieben:"Ich will hier raus"
Alles Stars im (Internet)Dschungel
Und die wollen halt raus ....
Verfasst: 06.02.2008 13:52
von miccom
darkon hat geschrieben:Eine Wertschätzung?
Das ist doch wohl die mit Abstand idiotischste Ausrede die ich gehört habe... dem wird einfach nur der Ar*** auf Grundeis laufen.
Immerhin hat es phpbb.de damit in eine heise-News geschafft!
Fürs verkaufen der Daten, gehört er aber geteert und gefedert - nicht aber fürs hacken selbst.
Verfasst: 06.02.2008 13:54
von kbdcalls
mgutt hat geschrieben:Fennias Maxim hat geschrieben:tost hat geschrieben:
In dem Sinne verwendet bessere Passwörter!
Grüße
Genau, mit dem MD5-Hash und der email-Adresse lassen sich nämlich keine Schweinereien anstellen...:rolleyes:
Doch kann man, da man sich mit einem Autologin-Cookie einloggen kann. Deswegen hat die neuere Version von phpbb2 auch ein 2-Stufen-Login-System für den Adminbereich erhalten bzw. deswegen sollte man das Admin-Verzeichnis zusätzlich per .htaccess schützen.
Ich habe mich von Kurzem mit dieser Problematik beschäftigt, weshalb ich da noch einen User-Agent integrieren werden, um sowas zu verhindern.
Gruß
Dann hätte man es auch gleich richtig machen können. Also meldet man sich mit Passwort A an . Will man dann in den Admin Bereich braucht man Passwort B . Und damits damit kein Vertun gibt wird man gleich bei der Installation gezwungen unterschiedliche Passwörter zu vergeben. Auch wenn man zusätzlich Admins einrichtet. Und diese müssen dann bestimmte Kriterien erfüllen. In Bezug auf Länge und welche Zeichen enthalten sind.