Apache Friends Support Forum

[gp-gang]

Ich hab bei mir einen Apache server laufen siehe:
http://gp-server.no-ip.org
Auf diese lücke bin ich von einem meiner User informiert worden.
Undzwar ist es möglich ohne Sql zB mit diesem Programm:
http://wacker-welt.de/webadmin/
auf ALLE verzeichnisse auf diesem PC zuzugreifen / zu löschen oder zu ändern.
Wie kann ich das verhindern? Ich fände es super wenn einer mir helfen könnte. Ich habe den ganzen Tag gegoogelt habe aber keine Anleitung für einen Amateur gefunden
PHP Safemod ist an.
Ich denke aber da ist irgendwo bei mir bei php ne Lücke nur wo?
Für Windoof gibts fast nirgendswo Hilfe Seiten

Danke im voraus!

[Wiedmann]

Undzwar ist es möglich ohne Sql zB mit diesem Programm:
http://wacker-welt.de/webadmin/
auf ALLE verzeichnisse auf diesem PC zuzugreifen / zu löschen oder zu ändern.

Dann installiere dieses Script einfach nicht... bzw. Zugriff nur nach einer Passwortabfrage.

(Fremde lässt man natürlich eh keine eigenen Scripte auf den Server laden!)

Wie kann ich das verhindern?

z.B.:
http://de.php.net/manual/en/features.sa ... en-basedir

Ich denke aber da ist irgendwo bei mir bei php ne Lücke nur wo?

http://de.php.net/manual/en/security.filesystem.php

Für Windoof gibts fast nirgendswo Hilfe Seiten

Das liegt wohl daran, dass PHP auf allen system grundsätzlich gleich konfiguriert wird. (Und wenn du etwas doof findest, dann benutze es nicht. Ohne Ausreden...)

[gp-gang]

(Fremde lässt man natürlich eh keine eigenen Scripte auf den Server laden!)

Dies ist ein Webspace Server


Danke für deine antwort werds versuchen.

[gp-gang]

Wenn anstelle von safe_mode ein open_basedir Verzeichnis angegeben wurde, können Dateioperationen nur noch unterhalb dieses Verzeichnisses vorgenommen werden. Beispiel (Apache httpd.conf):


Genau das is es! Aber da steht nciht wie man das Anwenden kann. Kann mir da einer behilflich sein?

[gp-gang]

Ok ich hab openbasedir aktiviert!
Nun aber sehe ich das es nichts nützt es ist kein Unterschied zu vorher.

Kann man da niks mit der htaccess machen?
Also Das diese Verzeichnisse gar nicht ansprechbar sind:
C:\Windows
C:\xampp

[Wiedmann]

Dies ist ein Webspace Server

Ob da ein Apache unter WIndows und Zuhause die beste Wahl ist? ...

Ok ich hab openbasedir aktiviert!
Nun aber sehe ich das es nichts nützt es ist kein Unterschied zu vorher.

Dann hast du wohl was falsch gemacht. Ergo: Was hast du genau gemacht?

[gp-gang]

da stand open_basedir = on <-- hab auf on gesetzt und server neu gestartet

[gp-gang]

Ob da ein Apache unter WIndows und Zuhause die beste Wahl ist? ...

Das bin ich mir bewusst das sich Windoof dafür nicht eignet. Nur ich kann nicht alle Daten und User direkt so auf Linux übernehmen ich kann ja schließlich nicht xampp ordner in lampp ordner kopieren. Ist ja ganz anders aufgebaut. Und wenn das klappen würde gäbe es probleme mit den Foren und Portalen meiner User.
Daher bleib ich soweit es geht noch bei Windoof.

[gp-gang]

Ich denke wir werden das nicht ohne weiteres hinkriegen ist es nicht irgendwie möglich das mit .htaccess zu machen? Denn schließlich ist es möglich mit htaccess jeden zugriff zu sperren da muss es doch irgendwie auch gehen nur bestimmte Ordner zu sperren oder?

[Wiedmann]

da stand open_basedir = on <-- hab auf on gesetzt und server neu gestartet

Wenn du den Link von oben genauer gelesen hättest, hättest du gesehen, dass man dieses nicht an- oder auschaltet, sondern das open_basedir als Parameter Verzeichnisangaben erwartet (eben die Verzeichnisse, auf die PHP zugriefen darf).

ist es nicht irgendwie möglich das mit .htaccess zu machen?

open_basedir kann man in einer ".htaccess" nicht setzten.

[gp-gang]

Ich habe es gelesen nur hab nicht so ganz durchblicken können!

Ich denke mal du meinst das:
<Directory /docroot>
php_admin_value open_basedir /docroot
</Directory>

Soll ich das so unten an den Script dranhängen?
<Directory C:\Windows>
php_admin_value open_basedir /docroot
</Directory>

[gp-gang]

hab safemod off
und
open_basedir C:\xampp\htdocs

[Wiedmann]

Soll ich das so unten an den Script dranhängen?

a) wäre das so eh falsch. Du solltest dir erstmal überlegen, auf welche Verzeichnisse PHP zugriefen darf, bzw. wie dein Server überhaupt konfiguriert ist (VHosts ja nein / Userverzeichnisse, usw.).

b) kommt das dann nicht in ein Script, sondern in die "httpd.conf".

[gp-gang]

Ja mein ich ja.
nur ist das letzte was ih geschrieben hab so richtig?
da meine php.ini
http://gp-server.no-ip.org/username/test/php.ini

[gp-gang]

kann mir niemand helfen?