Apache große Sicherheitslücke

Irgendwelche Probleme mit XAMPP für Windows? Dann ist hier genau der richtige Ort um nachzufragen.

Apache große Sicherheitslücke

Postby gp-gang » 07. March 2008 14:53

Ich hab bei mir einen Apache server laufen siehe:
http://gp-server.no-ip.org
Auf diese lücke bin ich von einem meiner User informiert worden.
Undzwar ist es möglich ohne Sql zB mit diesem Programm:
http://wacker-welt.de/webadmin/
auf ALLE verzeichnisse auf diesem PC zuzugreifen / zu löschen oder zu ändern.
Wie kann ich das verhindern? Ich fände es super wenn einer mir helfen könnte. Ich habe den ganzen Tag gegoogelt habe aber keine Anleitung für einen Amateur gefunden :(
PHP Safemod ist an.
Ich denke aber da ist irgendwo bei mir bei php ne Lücke nur wo?
Für Windoof gibts fast nirgendswo Hilfe Seiten :(

Danke im voraus!
gp-gang
 
Posts: 20
Joined: 07. March 2008 13:51

Postby Wiedmann » 07. March 2008 15:41

Undzwar ist es möglich ohne Sql zB mit diesem Programm:
http://wacker-welt.de/webadmin/
auf ALLE verzeichnisse auf diesem PC zuzugreifen / zu löschen oder zu ändern.

Dann installiere dieses Script einfach nicht... bzw. Zugriff nur nach einer Passwortabfrage.

(Fremde lässt man natürlich eh keine eigenen Scripte auf den Server laden!)

Wie kann ich das verhindern?

z.B.:
http://de.php.net/manual/en/features.sa ... en-basedir

Ich denke aber da ist irgendwo bei mir bei php ne Lücke nur wo?

http://de.php.net/manual/en/security.filesystem.php

Für Windoof gibts fast nirgendswo Hilfe Seiten

Das liegt wohl daran, dass PHP auf allen system grundsätzlich gleich konfiguriert wird. (Und wenn du etwas doof findest, dann benutze es nicht. Ohne Ausreden...)
Wiedmann
AF Moderator
 
Posts: 17106
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby gp-gang » 07. March 2008 15:44

(Fremde lässt man natürlich eh keine eigenen Scripte auf den Server laden!)

Dies ist ein Webspace Server :D


Danke für deine antwort werds versuchen.
gp-gang
 
Posts: 20
Joined: 07. March 2008 13:51

Postby gp-gang » 07. March 2008 15:49

Wenn anstelle von safe_mode ein open_basedir Verzeichnis angegeben wurde, können Dateioperationen nur noch unterhalb dieses Verzeichnisses vorgenommen werden. Beispiel (Apache httpd.conf):


Genau das is es! Aber da steht nciht wie man das Anwenden kann. Kann mir da einer behilflich sein?
gp-gang
 
Posts: 20
Joined: 07. March 2008 13:51

Postby gp-gang » 07. March 2008 16:11

Ok ich hab openbasedir aktiviert!
Nun aber sehe ich das es nichts nützt es ist kein Unterschied zu vorher. :(

Kann man da niks mit der htaccess machen?
Also Das diese Verzeichnisse gar nicht ansprechbar sind:
C:\Windows
C:\xampp
gp-gang
 
Posts: 20
Joined: 07. March 2008 13:51

Postby Wiedmann » 07. March 2008 16:21

Dies ist ein Webspace Server

Ob da ein Apache unter WIndows und Zuhause die beste Wahl ist? ...

Ok ich hab openbasedir aktiviert!
Nun aber sehe ich das es nichts nützt es ist kein Unterschied zu vorher.

Dann hast du wohl was falsch gemacht. Ergo: Was hast du genau gemacht?
Wiedmann
AF Moderator
 
Posts: 17106
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby gp-gang » 07. March 2008 16:25

da stand open_basedir = on <-- hab auf on gesetzt und server neu gestartet
gp-gang
 
Posts: 20
Joined: 07. March 2008 13:51

Postby gp-gang » 07. March 2008 16:28

Wiedmann wrote:

Ob da ein Apache unter WIndows und Zuhause die beste Wahl ist? ...

Das bin ich mir bewusst das sich Windoof dafür nicht eignet. Nur ich kann nicht alle Daten und User direkt so auf Linux übernehmen ich kann ja schließlich nicht xampp ordner in lampp ordner kopieren. Ist ja ganz anders aufgebaut. Und wenn das klappen würde gäbe es probleme mit den Foren und Portalen meiner User. :(
Daher bleib ich soweit es geht noch bei Windoof.
gp-gang
 
Posts: 20
Joined: 07. March 2008 13:51

Postby gp-gang » 07. March 2008 16:31

Ich denke wir werden das nicht ohne weiteres hinkriegen ist es nicht irgendwie möglich das mit .htaccess zu machen? Denn schließlich ist es möglich mit htaccess jeden zugriff zu sperren da muss es doch irgendwie auch gehen nur bestimmte Ordner zu sperren oder?
gp-gang
 
Posts: 20
Joined: 07. March 2008 13:51

Postby Wiedmann » 07. March 2008 17:03

da stand open_basedir = on <-- hab auf on gesetzt und server neu gestartet

Wenn du den Link von oben genauer gelesen hättest, hättest du gesehen, dass man dieses nicht an- oder auschaltet, sondern das open_basedir als Parameter Verzeichnisangaben erwartet (eben die Verzeichnisse, auf die PHP zugriefen darf).

ist es nicht irgendwie möglich das mit .htaccess zu machen?

open_basedir kann man in einer ".htaccess" nicht setzten.
Wiedmann
AF Moderator
 
Posts: 17106
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby gp-gang » 07. March 2008 17:09

Ich habe es gelesen nur hab nicht so ganz durchblicken können!

Ich denke mal du meinst das:
<Directory /docroot>
php_admin_value open_basedir /docroot
</Directory>

Soll ich das so unten an den Script dranhängen?
<Directory C:\Windows>
php_admin_value open_basedir /docroot
</Directory>
gp-gang
 
Posts: 20
Joined: 07. March 2008 13:51

Postby gp-gang » 07. March 2008 17:16

hab safemod off
und
open_basedir C:\xampp\htdocs
gp-gang
 
Posts: 20
Joined: 07. March 2008 13:51

Postby Wiedmann » 07. March 2008 17:16

Soll ich das so unten an den Script dranhängen?

a) wäre das so eh falsch. Du solltest dir erstmal überlegen, auf welche Verzeichnisse PHP zugriefen darf, bzw. wie dein Server überhaupt konfiguriert ist (VHosts ja nein / Userverzeichnisse, usw.).

b) kommt das dann nicht in ein Script, sondern in die "httpd.conf".
Wiedmann
AF Moderator
 
Posts: 17106
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby gp-gang » 07. March 2008 17:23

Ja mein ich ja.
nur ist das letzte was ih geschrieben hab so richtig?
da meine php.ini
http://gp-server.no-ip.org/username/test/php.ini
gp-gang
 
Posts: 20
Joined: 07. March 2008 13:51

Postby gp-gang » 08. March 2008 13:22

kann mir niemand helfen?
gp-gang
 
Posts: 20
Joined: 07. March 2008 13:51

Next

Return to XAMPP für Windows

Who is online

Users browsing this forum: No registered users and 4 guests