Baumstrukturmodus | Brettstrukturmodus

***basti*** · 19.02.2009, 20:06 PM

Na er muss das ja nur bei deinem Account einstellen. Blöd irgendwie.

Buddy Hollyday · 19.02.2009, 20:47 PM

Warum sagst Du nix zu meinen kleinen Probs?
Überlesen? Ist doch ein Klacks für den Master.
Hab keine Zeit und keinen Bock auf try & error^^

Sad

***basti*** · 19.02.2009, 21:03 PM

Hatte ich doch:

PHP-Code:

include($NWCONF_SYSTEM['server_path'].'include/filefunc.inc'.$NWCONF_SYSTEM['php_ext']); 

und sicherst die so ab:

PHP-Code:

if(file_exists($NWCONF_SYSTEM['server_path'].'include/filefunc.inc'.$NWCONF_SYSTEM['php_ext'])){
include($NWCONF_SYSTEM['server_path'].'include/filefunc.inc'.$NWCONF_SYSTEM['php_ext']);
} 

irgendwie produziert die zweite Seite dieses Threads eine weiße Seite,...
Nur warum....

Buddy Hollyday · 19.02.2009, 21:37 PM

Ohh wehh, ist das alles ein Mist.

Mein Posting heute 17:16 hast Du dann wohl überlesen Undecided

Dann hier nochmal :

Habe jetzt alle Dateien durch und wo includes gefunden
nach Deinem Beispiel entschärft.

Bei 3en bin ich mir unsicher, wie ich das machen soll.
Die entsprechen nicht Deinem Beispiel^^
Hier der Original-Code mit den includes :

1. in showfunc.inc.php

PHP-Code:

PHP-Code:
if (!$NW_INCLUDED[$filename]) {
   $NW_INCLUDED[$filename] = true;
     include($filename);
 } 

2. in article.php

PHP-Code:

if ($_GET['comment'] == 'write' or $_GET['comment'] == 'show' or $_GET['comment'] == 'writeonly')
  {
    if (@is_file($NWCONF_SYSTEM['server_path'].$NWCONF_SYSTEM['template_dir'].'/'.$article_data['TOPIC'].$header_file))
        {include($NWCONF_SYSTEM['server_path'].$NWCONF_SYSTEM['template_dir'].'/'.$article_data['TOPIC'].$header_file);}

 
if ($_GET['printview'] != '1') {
    if (@is_file($NWCONF_SYSTEM['server_path'].$NWCONF_SYSTEM['template_dir'].'/'.$article_data['TOPIC'].$footer_file)) {
    include($NWCONF_SYSTEM['server_path'].$NWCONF_SYSTEM['template_dir'].'/'.$article_data['TOPIC'].$footer_file);
    }
    elseif (@is_file($NWCONF_SYSTEM['server_path'].$NWCONF_SYSTEM['template_dir'].'/default'.$footer_file)) {
      include($NWCONF_SYSTEM['server_path'].$NWCONF_SYSTEM['template_dir'].'/default'.$footer_file); 

3. in index.php

PHP-Code:

if (@is_file($NWCONF_SYSTEM['server_path'].$NWCONF_SYSTEM['template_dir'].'/'.$NW_RUNTIME['showtopic'].$header_file)) {
  include($NWCONF_SYSTEM['server_path'].$NWCONF_SYSTEM['template_dir'].'/'.$NW_RUNTIME['showtopic'].$header_file);
 } 

***basti*** · 20.02.2009, 08:38 AM

Die drei kannst du so lassen. Da sind ja schon Vorsichtsmaßnahmen drin.

Buddy Hollyday

Hallo !

Wie es aussieht, mag nun niemand mehr meinen Newswriter hacken Smile

Alle von Basti und im Forum vorgeschlagenen Codeänderungen sind
eingebaut, alle wichtigen Funktionsdateien haben nur noch Leserecht
und einige .htaccess eben. Bei einigen Providern ist es möglich, mittels
einer php.ini im root die allow_url_fopen und register_globals
auf off zu setzen.

Habe die log-files die letzte Woche jeden Tag gecheckt und festgestellt,
dass andauernd irgendwelche IPs aus Indonesien, Russland und USA etc.
versuchen, auf den include-Ordner zuzugreifen.

Vielleicht möchte noch jemand etwas Sicherheit einbauen.
Habe im root eine .htaccess, die scheinbar auch einiges bewirkt.
Daher gebe ich die hier mal zum Besten. Die gesperrten IP-Bereiche
sind die ausländischen Anfragen, die ich für Hackversuche halte,
da sie auf den include-Ordner zugreifen wollen ...

Code:

# Zugriff verweigern

order deny,allow

deny from 38.100.41

deny from 72.1.16

deny from 81.169.143

deny from 84.21.71

deny from 125.162.51

deny from 202.93.37

deny from 216.113.194

deny from 216.113.192

deny from 222.122.49

# Directory Listing abschalten

Options -Indexes

# mod_rewrite einschalten

RewriteEngine On RewriteBase /

# abschliessenden Trailing Slash erzwingen

Options +FollowSymlinks

RewriteCond %{REQUEST_URI} ^/[^\.]+[^/]$

RewriteRule ^(.*)$ http://%{HTTP_HOST}/$1/ [R=301,L]

# auf korrekte HTML Protokolle pruefen

RewriteCond %{THE_REQUEST} !^[A-Z]{3,9}\ .+\ HTTP/(0\.9|1\.0|1\.1) [NC]

RewriteRule .* - [F,NS,L]

# fuer den Normalbetrieb

RewriteCond %{REQUEST_METHOD} !^(GET|HEAD|POST)$ [NC]

RewriteRule .* - [F,NS,L]

# keine .. in der URL

RewriteCond %{QUERY_STRING} (\.\.)

RewriteRule .* - [F,NS,L]

# keine Spezialdateien

RewriteCond %{REQUEST_URI} (install|setup|config)\.php [NC]

RewriteRule ^(.*)$ index.php [F,L]

# index.html etc immer nach / leiten wenn KEINE Parameter anhängen

RewriteCond %{REQUEST_URI} ^/index\.(php|htm|html)$

RewriteCond %{QUERY_STRING} ^$

RewriteRule ^(.*)$ / [L,R=301]

# wollen immer www. haben

RewriteCond %{HTTP_HOST} !^www\.[a-z-]+\.[a-z]{2,6} [NC]

RewriteCond %{HTTP_HOST} ([a-z-]+\.[a-z]{2,6})$ [NC]

RewriteRule ^(.*)$ http://www.%1/$1 [R=301,L]

# ohne user-agent kein POST

RewriteCond %{REQUEST_METHOD} =POST

RewriteCond %{HTTP_USER_AGENT} ^-?$

RewriteRule .* - [F,NS,L]

########## Begin - Rewrite rules to block out some common exploits

#       

# Block out any script trying to set a mosConfig value through the URL

RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]

# Block out any script trying to base64_encode crap to send via URL

RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]

# Block out any script that includes a <script> tag in URL

RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]

# Block out any script trying to set a PHP GLOBALS variable via URL

RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]

# Block out any script trying to modify a _REQUEST variable via URL

RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) [OR]

# Block out any script that tries to set CONFIG_EXT (com_extcal2issue)

RewriteCond %{QUERY_STRING} CONFIG_EXT(\[|\%20|\%5B).*= [NC,OR]

# Block out any script that tries to set sbp or sb_authorname via URL (simpleboard) 

RewriteCond %{QUERY_STRING} sbp(=|\%20|\%3D) [OR]

RewriteCond %{QUERY_STRING} sb_authorname(=|\%20|\%3D)   

# Send all blocked request to homepage with 403 Forbidden error!

RewriteRule ^(.*)$ index.php [F,L]

#

########## End - Rewrite rules to block out some common exploits

An Basti vll. noch die Frage, ob diese .htaccess in dieser Form
sinnvoll ist und ob es da noch was zu erweitern gibt ...

Gruß aus WOlfsburg und nice weekend ...

- BitMan -

***basti*** · 27.02.2009, 15:36 PM

Hi,
naja du sperrst da IP Adressen aus, dann können die nicht mehr zugreifen. Allerdings verwehrst du dann auch nicht feindlich gesinnten Besuchern den Zugriff.

Möglicherweise verwandte Themen...
Thema:		Verfasser	Antworten:	Ansichten:	Letzter Beitrag
	conf und layout gehen nicht...	jon4s	4	1,175	06.07.2007 15:49 PM Letzter Beitrag: Support Team
	Suche funktioniert nicht	Jockl	27	3,302	14.02.2007 22:19 PM Letzter Beitrag: Jockl
	NW 1.42: Bilder einfügen-Funktion funzt nicht	stevex	2	854	28.12.2006 20:53 PM Letzter Beitrag: basti
	Zeilenumbruch wird nicht gemacht	Samson	13	1,647	04.05.2005 05:38 AM Letzter Beitrag: basti
	DatumsÄnderung bei News bearbeiteiten ist nicht mehr möglich	Ecke	10	1,029	21.04.2005 21:06 PM Letzter Beitrag: basti
	Angelegte User werden nicht erkannt	Torti	2	545	27.02.2005 10:17 AM Letzter Beitrag: basti
	nw_sw 1.4 Editor wird nicht geladen	Ecke	12	1,309	08.02.2005 10:00 AM Letzter Beitrag: basti
	newsfrom() - geht nicht	allerGGF	6	1,515	17.08.2004 16:27 PM Letzter Beitrag: T.N.T.
	weiterleitung zum berich funktioniert nicht	bfkgmunden	4	826	02.07.2004 10:02 AM Letzter Beitrag: basti
	Newswriter Newsletter funzt nicht!	paelzersebbi	2	711	28.05.2004 09:23 AM Letzter Beitrag: basti