Brauche Dringend Hilfe

[holger.librenz_4fb]

@derSteffen
Ich wollte Dich auch nicht angreifen, deswegen hatte ich auch immer noch mal betont, das es sich ausschliesslich um meine Meinung handelt.
Mir gefällt allerdings die Idee des Contenido Fonds und freiwillige PayPal Spenden klingen und wirken auch etwas anders

Und ich muss Contenider beipflichten, der Thread trifftet ab. Ich bin auch dafür ab sofort den von ihm eröffneten Thread zu für diese Diskussion zu nutzen und hier nur zum eigentlichen Thema etwas zu schreiben!

Greets, Holger

[woldini]

@der Steffen

also sprechen wir von dem Logs-Ordner von Contenido, nicht vom Logs-Ordner der Webseite?

ich meinte den Logs-Ordner von Contenido, - Sorry, manchmal bin ich einfach ein bisschen unpräzise in meinen Aussagen. Freut mich, dass es geklappt hat.

Nachtrag zum Sicherheitsfeature (bitte beachten):

hab ich in meinen Beiträgen als Hinweis leider vergessen - Sorry : Sofern jemand diese Lösung mit .htaccess- und dazugehörender -Datei php nutzt: Beachtet bitte, dass das Rewriting des Servers einwandfrei auch im Zusammenspiel mit der PHP-Engine funktionieren muss, denn darauf fußt das Ganze!

Leider hatten wir wegen einer Fehlkonfiguration eines Providers einen unangenehmen Effekt, der den Einsatz der Lösung zunichte machte. Das Rewriting funktionierte hier zwar, aber die PHP-Konfiguration war irgendwie fehlerhaft. Wie - können wir nicht sagen, es war ein Shared Hosting Account. Und der Provider weigerte sich auch dies zu beheben. Die Fehlkonfiguration führte dazu, dass der Aufruf einer zweiten Seite im Browser nach dem Aufruf der Startseite plötzlich in Mozilla den PHP-Code der Seite anzeigte. Wir haben dann die .htaccess-Datei entfernt. Hier hilft nur noch ein Providerwechsel. Oder ein PHP-Script, das in den entsprechenden Includes, die die Browserausgabe der Seiten steuern das Laden von externen Quellen, die mit http oder ftp beginnen, ausschließt (Hallo Contenido-Entwickler, das wär doch was für Euch )

[derSteffen]

Hallo woldini,

ich habe leider jetzt das Problem, das meine PopUps meiner Seite, zum Beispiel bei meiner Bildergalerie folgenden Inhalt haben:

88.75.00.1- your attack has been logged and will be prosecuted.
Make my day ...

und kein Bild zu sehen ist!

Gibt es eine RewriteRule in der ich sagen könnte ausgenommen folgender Domain?

Der Aufruf des PopUps lautet so:
http://www.domain.de/cms/popup.php?pfad ... _02/01.jpg

mfg

Nachtrag:

Ich habe eine Lösung gefunden:
einfach unter

RewriteCond %{QUERY_STRING} ^.*http[s]*://.*$ [NC]

noch das hier einsetzen:

Code: Alles auswählen

RewriteCond %{QUERY_STRING} !^.*http[s]*://www.MEINE-DOMAIN.DE [NC]

Oder bringt das denn als Schutz nichts mehr?

Wenn ich das Aufrufe

Code: Alles auswählen

http://www.zu-testende-adresse.de/front_content.php?cfg[path][includes]=http://www.deine_homepage.de/index.php?

wird allerdings deine Meldung der attackmsg.php ausgegeben!

[woldini]

Hallo der Steffen

die Meldung

88.75.00.1- your attack has been logged and will be prosecuted.
Make my day ...

ist das, was ein Hacker zu sehen bekommt, wenn er über die Adresszeile im Browser eine extrene URL aufruft, von der aus die Schaddatei geladen werden soll: seine IP-Adresse und die Ansage, dass seine Aktion aufgezeichnet wurde.

Hier ist jetzt Deine IP-Adresse protokolliert worden, denn durch die Adresszeile beim Popup-Aufruf:

http://www.domain.de/cms/popup.php?pfad ... _02/01.jpg

lädtst Du mit "...popup.php?pfad=http://..." scheinbar eine externe Quelle in Deine Seite. Damit meine ich, Du simulierst hier ein bisschen eine URL-Injection. Wo kommt denn dieses "...popup.php?pfad=http://..." her, bzw. wie kommt es zustande? Meine Popups funktionieren ganz normal mit "target=blank" im Link. Kannst Du das nicht ändern? Dann gäbe es dieses Problem nicht mehr und eine RewriteRule wäre überflüssig.
Vielleicht liegt es auch daran, dass die .htaccess-Datei bei Dir im obersten Verzeichnis liegt (kann ich mir aber nicht denken...). Bei mir liegt sie im CMS-Ordner...

Was Deine Frage nach der RewriteRule anbetrifft, so hast Du mich kalt erwischt denn die .htaccess-Datei hat mein Geschäftspartner geschrieben und der ist schon heim (wollte ich auch gerade machen). Leider kenne ich mich damit nicht so gut aus. Sicher gibt es die RewriteRule zum Ausschließen der eigenen URL und wenn das ganze bis morgen warten kann, werde ich das mit meinem Geschäftspartner durchsprechen, denn vielleicht kommen wir ja in eine Situation, in der uns das Problem in ähnlicher Weise betreffen könnte...

mfg

[malsdgtac]

Hallo ich habe das Script nun auch eingebaut - vielen dank dafür.

ich mußte die .htaccess-Datei etwas anpassen, warum es anders nicht funktioniert hat, weiß ich nicht (Provider ist all-inkl).

Bei mir schau diese nun so aus:

Code: Alles auswählen

<IfModule mod_rewrite.c>
RewriteEngine on

# achtung bitte basisverzeichnis anpassen!
RewriteBase /cms/

  # detect url injection in query string 
  RewriteCond %{REQUEST_URI} !^attackmsg.php.* [NC] 
  RewriteCond %{QUERY_STRING} ^.*ftp://.*$  [NC,OR] 
  RewriteCond %{QUERY_STRING} ^.*http[s]*://.*$ [NC] 
  RewriteRule ^(.*)$ attackmsg.php?attack_request=/$1 [L,NS,QSA] 

#Anweisungen für das URL-Rewriting von stese
</IfModule>

Ich habe also beim RewriteBase (meine front_content.php liegt im Ordner cms) den Schrägstrich ergänzen müssen, dafür bei der attackmsg.php entfernt.

Übrigens im Beispiel von woldini ist in der .htaccess die attackmsg.php mit führendem Unterstrich geschrieben - das muss auch geändert werden.

Zur Frage bezüglich dem Ausschließen habe ich vielleicht was für euch (steht auch in der .htacces von stese):

Code: Alles auswählen

# ausnahmen für verzeichnisse der mod_rewrite regel:
# verzeichnisse ausschließen
RewriteRule ^verzeichnis1/.*$ - [L]

ich glaube auf das [L] kommt es an.