@derSteffen
Ich wollte Dich auch nicht angreifen, deswegen hatte ich auch immer noch mal betont, das es sich ausschliesslich um meine Meinung handelt.
Mir gefällt allerdings die Idee des Contenido Fonds und freiwillige PayPal Spenden klingen und wirken auch etwas anders
Und ich muss Contenider beipflichten, der Thread trifftet ab. Ich bin auch dafür ab sofort den von ihm eröffneten Thread zu für diese Diskussion zu nutzen und hier nur zum eigentlichen Thema etwas zu schreiben!
Greets, Holger
Brauche Dringend Hilfe
@der Steffen
Nachtrag zum Sicherheitsfeature (bitte beachten):
hab ich in meinen Beiträgen als Hinweis leider vergessen - Sorry : Sofern jemand diese Lösung mit .htaccess- und dazugehörender -Datei php nutzt: Beachtet bitte, dass das Rewriting des Servers einwandfrei auch im Zusammenspiel mit der PHP-Engine funktionieren muss, denn darauf fußt das Ganze!
Leider hatten wir wegen einer Fehlkonfiguration eines Providers einen unangenehmen Effekt, der den Einsatz der Lösung zunichte machte. Das Rewriting funktionierte hier zwar, aber die PHP-Konfiguration war irgendwie fehlerhaft. Wie - können wir nicht sagen, es war ein Shared Hosting Account. Und der Provider weigerte sich auch dies zu beheben. Die Fehlkonfiguration führte dazu, dass der Aufruf einer zweiten Seite im Browser nach dem Aufruf der Startseite plötzlich in Mozilla den PHP-Code der Seite anzeigte. Wir haben dann die .htaccess-Datei entfernt. Hier hilft nur noch ein Providerwechsel. Oder ein PHP-Script, das in den entsprechenden Includes, die die Browserausgabe der Seiten steuern das Laden von externen Quellen, die mit http oder ftp beginnen, ausschließt (Hallo Contenido-Entwickler, das wär doch was für Euch )
ich meinte den Logs-Ordner von Contenido, - Sorry, manchmal bin ich einfach ein bisschen unpräzise in meinen Aussagen. Freut mich, dass es geklappt hat.also sprechen wir von dem Logs-Ordner von Contenido, nicht vom Logs-Ordner der Webseite?
Nachtrag zum Sicherheitsfeature (bitte beachten):
hab ich in meinen Beiträgen als Hinweis leider vergessen - Sorry : Sofern jemand diese Lösung mit .htaccess- und dazugehörender -Datei php nutzt: Beachtet bitte, dass das Rewriting des Servers einwandfrei auch im Zusammenspiel mit der PHP-Engine funktionieren muss, denn darauf fußt das Ganze!
Leider hatten wir wegen einer Fehlkonfiguration eines Providers einen unangenehmen Effekt, der den Einsatz der Lösung zunichte machte. Das Rewriting funktionierte hier zwar, aber die PHP-Konfiguration war irgendwie fehlerhaft. Wie - können wir nicht sagen, es war ein Shared Hosting Account. Und der Provider weigerte sich auch dies zu beheben. Die Fehlkonfiguration führte dazu, dass der Aufruf einer zweiten Seite im Browser nach dem Aufruf der Startseite plötzlich in Mozilla den PHP-Code der Seite anzeigte. Wir haben dann die .htaccess-Datei entfernt. Hier hilft nur noch ein Providerwechsel. Oder ein PHP-Script, das in den entsprechenden Includes, die die Browserausgabe der Seiten steuern das Laden von externen Quellen, die mit http oder ftp beginnen, ausschließt (Hallo Contenido-Entwickler, das wär doch was für Euch )
-
- Beiträge: 847
- Registriert: Mi 14. Dez 2005, 16:15
- Wohnort: Königs Wusterhausen bei Berlin
- Kontaktdaten:
Hallo woldini,
ich habe leider jetzt das Problem, das meine PopUps meiner Seite, zum Beispiel bei meiner Bildergalerie folgenden Inhalt haben:
88.75.00.1- your attack has been logged and will be prosecuted.
Make my day ...
und kein Bild zu sehen ist!
Gibt es eine RewriteRule in der ich sagen könnte ausgenommen folgender Domain?
Der Aufruf des PopUps lautet so:
http://www.domain.de/cms/popup.php?pfad ... _02/01.jpg
mfg
Nachtrag:
Ich habe eine Lösung gefunden:
einfach unter
Oder bringt das denn als Schutz nichts mehr?
Wenn ich das Aufrufe wird allerdings deine Meldung der attackmsg.php ausgegeben!
ich habe leider jetzt das Problem, das meine PopUps meiner Seite, zum Beispiel bei meiner Bildergalerie folgenden Inhalt haben:
88.75.00.1- your attack has been logged and will be prosecuted.
Make my day ...
und kein Bild zu sehen ist!
Gibt es eine RewriteRule in der ich sagen könnte ausgenommen folgender Domain?
Der Aufruf des PopUps lautet so:
http://www.domain.de/cms/popup.php?pfad ... _02/01.jpg
mfg
Nachtrag:
Ich habe eine Lösung gefunden:
einfach unter
noch das hier einsetzen:RewriteCond %{QUERY_STRING} ^.*http[s]*://.*$ [NC]
Code: Alles auswählen
RewriteCond %{QUERY_STRING} !^.*http[s]*://www.MEINE-DOMAIN.DE [NC]
Wenn ich das Aufrufe
Code: Alles auswählen
http://www.zu-testende-adresse.de/front_content.php?cfg[path][includes]=http://www.deine_homepage.de/index.php?
Hallo der Steffen
die Meldung
Hier ist jetzt Deine IP-Adresse protokolliert worden, denn durch die Adresszeile beim Popup-Aufruf:
Vielleicht liegt es auch daran, dass die .htaccess-Datei bei Dir im obersten Verzeichnis liegt (kann ich mir aber nicht denken...). Bei mir liegt sie im CMS-Ordner...
Was Deine Frage nach der RewriteRule anbetrifft, so hast Du mich kalt erwischt denn die .htaccess-Datei hat mein Geschäftspartner geschrieben und der ist schon heim (wollte ich auch gerade machen). Leider kenne ich mich damit nicht so gut aus. Sicher gibt es die RewriteRule zum Ausschließen der eigenen URL und wenn das ganze bis morgen warten kann, werde ich das mit meinem Geschäftspartner durchsprechen, denn vielleicht kommen wir ja in eine Situation, in der uns das Problem in ähnlicher Weise betreffen könnte...
mfg
die Meldung
ist das, was ein Hacker zu sehen bekommt, wenn er über die Adresszeile im Browser eine extrene URL aufruft, von der aus die Schaddatei geladen werden soll: seine IP-Adresse und die Ansage, dass seine Aktion aufgezeichnet wurde.88.75.00.1- your attack has been logged and will be prosecuted.
Make my day ...
Hier ist jetzt Deine IP-Adresse protokolliert worden, denn durch die Adresszeile beim Popup-Aufruf:
lädtst Du mit "...popup.php?pfad=http://..." scheinbar eine externe Quelle in Deine Seite. Damit meine ich, Du simulierst hier ein bisschen eine URL-Injection. Wo kommt denn dieses "...popup.php?pfad=http://..." her, bzw. wie kommt es zustande? Meine Popups funktionieren ganz normal mit "target=blank" im Link. Kannst Du das nicht ändern? Dann gäbe es dieses Problem nicht mehr und eine RewriteRule wäre überflüssig.
Vielleicht liegt es auch daran, dass die .htaccess-Datei bei Dir im obersten Verzeichnis liegt (kann ich mir aber nicht denken...). Bei mir liegt sie im CMS-Ordner...
Was Deine Frage nach der RewriteRule anbetrifft, so hast Du mich kalt erwischt denn die .htaccess-Datei hat mein Geschäftspartner geschrieben und der ist schon heim (wollte ich auch gerade machen). Leider kenne ich mich damit nicht so gut aus. Sicher gibt es die RewriteRule zum Ausschließen der eigenen URL und wenn das ganze bis morgen warten kann, werde ich das mit meinem Geschäftspartner durchsprechen, denn vielleicht kommen wir ja in eine Situation, in der uns das Problem in ähnlicher Weise betreffen könnte...
mfg
Hallo ich habe das Script nun auch eingebaut - vielen dank dafür.
ich mußte die .htaccess-Datei etwas anpassen, warum es anders nicht funktioniert hat, weiß ich nicht (Provider ist all-inkl).
Bei mir schau diese nun so aus:
Ich habe also beim RewriteBase (meine front_content.php liegt im Ordner cms) den Schrägstrich ergänzen müssen, dafür bei der attackmsg.php entfernt.
Übrigens im Beispiel von woldini ist in der .htaccess die attackmsg.php mit führendem Unterstrich geschrieben - das muss auch geändert werden.
Zur Frage bezüglich dem Ausschließen habe ich vielleicht was für euch (steht auch in der .htacces von stese):
ich glaube auf das [L] kommt es an.
ich mußte die .htaccess-Datei etwas anpassen, warum es anders nicht funktioniert hat, weiß ich nicht (Provider ist all-inkl).
Bei mir schau diese nun so aus:
Code: Alles auswählen
<IfModule mod_rewrite.c>
RewriteEngine on
# achtung bitte basisverzeichnis anpassen!
RewriteBase /cms/
# detect url injection in query string
RewriteCond %{REQUEST_URI} !^attackmsg.php.* [NC]
RewriteCond %{QUERY_STRING} ^.*ftp://.*$ [NC,OR]
RewriteCond %{QUERY_STRING} ^.*http[s]*://.*$ [NC]
RewriteRule ^(.*)$ attackmsg.php?attack_request=/$1 [L,NS,QSA]
#Anweisungen für das URL-Rewriting von stese
</IfModule>
Übrigens im Beispiel von woldini ist in der .htaccess die attackmsg.php mit führendem Unterstrich geschrieben - das muss auch geändert werden.
Zur Frage bezüglich dem Ausschließen habe ich vielleicht was für euch (steht auch in der .htacces von stese):
Code: Alles auswählen
# ausnahmen für verzeichnisse der mod_rewrite regel:
# verzeichnisse ausschließen
RewriteRule ^verzeichnis1/.*$ - [L]