configuration.php schützen

**madinman** · 24.04.2009 10:58

Hallo,

habe die häufige Empfehlung befolgt die configuration.php dadurch zu schützen, dass ich diese umbenannt und in einen passwortgeschützten Ordner verschoben habe. Am alten Speicherort habe ich dann eine neue configuration.php mit folgendem Inhalt hinterlegt:

<?php
require( dirname(_FILE_).'/Ordnername/neuername.php');
?>

Funktioniert auch, Seite aufrufbar, nur: komme bei der Konfiguration nicht mehr ins Backend, leere Seite wird gezeigt. Was muss ich noch ändern?

(immer aktuelstes joomla, bei joomla 100 gehostet)

Danke für jeden Hinweis und lg
martin

**Myrtus** · 24.04.2009 11:14

Normalerweise müsste dann, wenn man das Backend aufruft, eine Passwortabfrage kommen.
Wenn ich mich nicht irre, müssten bei FILE zwei Unterstriche stehen.

<?php
require( dirname(__FILE__).'/Ordnername/neuername.php');
?>

**flotte** · 24.04.2009 11:46

Zitat von madinman

habe die häufige Empfehlung befolgt die configuration.php dadurch zu schützen, dass ich diese umbenannt und in einen passwortgeschützten Ordner verschoben habe...

Also was hier an Tips kursiert ist schon eine Topliste wert :-(

Ignoriere den Unsinn und sorge dafür das Dein Joomla aktuell und sicher ist und die Server-Konfig ebenfalls. Benutze richtige Passwörter und spiel Updates zeitnah ein.... Längere Liste hier.

**Myrtus** · 24.04.2009 11:50

Das kursiert nicht nur hier sondern steht auch in einer Spezialausgabe zum Thema Joomla in einer renommierten Computerzeitschrift.

**flotte** · 24.04.2009 12:00

Wundert mich ehrlich gesagt nicht... in diesen "spezialisierten" Zeitschriften steht auch oft genug banales Zeugs oder was die Aushilfs-Studenten-Redakteure in Foren so aufschnappen

Also im Ernst:
Es macht Sinn Konfigurationsdateien und andere Verzeichnisse/Dateien auf die ein Browser nicht direkt Zugriff haben muss, sondern deren Inhalte über Scripte eingelesen werden, AUßERHALB des Webroots abzulegen.
Allerdings sind Setup-Routinen dann etwas komplizierter und auch gibt es längt nicht bei jeden Hosting Verzeichnisse ohne Browserzugriff. Das abzufangen etc.pp. macht das Setup auch wieder komplexer.
Diverse Scripte nutzen (z.B. Moodle) das trotzdem und bei den anderen kann man den Entwicklern eigentlich nur auf die Füsse treten.
Schönes Beispiel: JoomlaPack. Sichert per Default innerhalb der Joomla-Struktur :-( ... na immerhin kann man manuell selbst externe Verzeichnisse eintragen, nur wer macht das schon...

**webdoktor** · 17.05.2009 19:48

Zitat von Myrtus

Das kursiert nicht nur hier sondern steht auch in einer Spezialausgabe zum Thema Joomla in einer renommierten Computerzeitschrift.

Ich muss flotte recht geben, musste mich auch gerade ein wenig amüsieren. Was soll das denn genau bringen? Im Grunde nichts, denn wenn deine Ordner und Dateirechte nicht richtig gesetzt sind, kann man auch die Pseudo Config Datei auslesen und sehen, wo die richtige liegt.

Am Besten immer darauf achten das Dateien auf 644 und Ordner auf 755 gesetzt sind, dann hast du zumindest da schon mal alles richtig gemacht. Wenn Sicherheitslücken in Komponenten oder Modulen sind, dann hast du eh verloren, sofern du nicht regelmäßig die entsprechenden Sicherheitswarnungen durchliest und danach vorgehst.

Gruß

der Webdoktor

**Myrtus** · 17.05.2009 20:05

Da hast du natürlich recht, ein menschlicher Hacker kann den Verweis auf die richtige config lesen, aber irgend welche automatisierten Scripte scheitern daran.
Datei- und Verzeichnisrechte sind sicherlich mit das Wichtigste, aber ein paar zusätzliche Maßnahmen schaden ja nicht. Außerdem gehen die meisten Empfehlungen vom bestgerüstetsten und perfekten Hacker aus, der es (glücklicherweise) in der Praxis oft nicht ist.
@Flotte: Der "Aushilfs-Studenten-Redakteur" war übrigens der Projektleiter des Zeitschriftenteams.

**webdoktor** · 17.05.2009 20:35

"Achtung es folgt Klugscheisseralarm"

Es sind auch oft Scriptkiddies die einfach nur herumexperimentieren und mit überall frei downloadbaren Tools Seiten im Netz hacken. Richtige Hacker beschäftigen sich mit ganz anderen Dingen.....

Also kurz um, jeder Windelpuper der sich mit Compis auskennt und im Web herumhühnert und sich evtl. mit PHP auskennt ist ein potentieller Eindringling.

"Klugscheisseralarm beendet"

Gruß

Webdoktor

**blackice2999** · 17.05.2009 21:03

Hi @all,

unabhängig von den Datei oder Verzeichnissrechten... welche Vorteil soll es denn sonst noch bringen ? Der User der es schafft die configuration.php auszulesen, der schaft es auch den Pfad weiter zu folgen und die "neue" configuration auszulesen... (so lange diese natürlich innerhalb des docroot´s liegt)

Schliesse mich Flotte an, man sollte mal eine Toplist für die DAU verdächtigsten Tipps aufmachen...

Gruß Dennis

**Myrtus** · 18.05.2009 05:56

Zitat von blackice2999

Der User der es schafft die configuration.php auszulesen, ...

Hier ging es auch nicht um User sondern um automatisierte Scripte (s.o.) und die stoßen hier an ihre Grenzen. Aber ich denke das Thema ist nun genug breitgetreten.
[EDIT] Und den DAU muss ich mir entschieden verbitten!!!

Thema: configuration.php schützen

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

configuration.php schützen

Erhielt Danksagungen von:

Lesezeichen

Lesezeichen

Berechtigungen