Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.
- Links zu: Aktiven | Unbeantworteten
- Übersicht
- »
- »
1
#1 01. September 2011 18:19
- noober
- arbeitet mit CMSMS
- Registriert: 26. April 2011
- Beiträge: 152
Re:
Habe die Sicherheitsvorkehrungen wie sie hier im Forum seht gut beschrieben (z.B. http://forum.cmsmadesimple.de/viewtopic.php?id=18)sind, auf verschiedenen Webseiten ausgeführt. Das einzige Problem ist, dass im BE der Button "Absenden" nicht funktioniert, ich (bzw. die Kunden) arbeiten mit "übernehemen" ....
Folgende Fehlermeldung erscheint bei "Absenden":
---------------------------------------------------------
Forbidden
You don't have permission to access /XXXXXXXX/listcontent.php on this server.
---------------------------------------------------------
Bei Seiten, die ich oder technisch interessierte Kunden pflegen ist das ok so, jetzt kommt ein Projekt mit vielen Leuten, die Texte usw. ändern und eingeben wollen. Hier würde ich gern ein einwandfrei funktionierendes BE zur Verfügung stellen.
listcontent Rechte habe ich via CHmod auf alles mögliche gesetzt ohne Erfolg.
Wo gehe ich weiter vor der der Suche?
Offline
#2 01. September 2011 20:02
- NaN
- Moderator
- Ort: Halle (Saale)
- Registriert: 09. November 2010
- Beiträge: 4.058
Re:
Die Rechte da zu verändern hat keinen Sinn.
Davon würde ich abraten. Normalerweise sollten die CHMOD Rechte mit 755 ausreichen.
(das ist eigentlich schon zu viel, aber bei vielen Providern läuft sonst garnichts)
Also nie, nie, und vor allem NIE einfach irgendwas auf 777 setzen!
Außer dem uploads-Verzeichnis und dem tmp-Verzeichnis braucht man nirgends, nirgends und nirgends SCHREIBrechte !
D.h. uploads- und tmp-Verzeichnis können CHMOD 777 haben.
Alle anderen Verzeichnisse höchstens, höchstens aber allenfalls höchstens 755.
(Für Dateien 644. HÖCHSTENS!)
Welche Schritte genau hast Du unternommen?
Hast Du evtl. in irgendeiner .htaccess-Datei den Zugriff auf Dateien verboten?
Wenn ja, wo sind diese .htaccess-Dateien und was genau steht dort drin?
Module: GBFilePicker, AdvancedContent, FEUMailer
Plugins: AjaxTools, XajaxTools
Sicherheit: Beispiel .htaccess-Datei
Offline
#3 02. September 2011 11:48
- noober
- arbeitet mit CMSMS
- Registriert: 26. April 2011
- Beiträge: 152
Re:
Ich habe die CHMOD Rechte wieder zurückgestellt.
.htaccess sieht so aus bei mir (verstehen tue ich das größtenteils nur rudimentär):
-----------------------------------------------------------------------------------------
# BEGIN Optional settings
# Turns off directory browsing
# not absolutely essential, but keeps people from snooping around without
# needing empty index.html files everywhere
Options -Indexes
# No sense advertising what we are running
ServerSignature Off
# END Optional Settings
# Attempt to override some php settings, these settings may be helpful on some hosts if your
# default configuration does not meet CMS's minimum requirements, and your host
# has given your account appropriate permissions
#php_value upload_max_filesize "10M"
#php_value session_save_path "tmp/cache"
#php_flag magic_quotes_gpc Off
#php_flag register_globals Off
#php_flag session.use_trans_sid Off
# (this is important, so uncomment if your host permit)
Options -Indexes
ServerSignature Off
# Deny access to config.php and CHANGELOG.txt
# The former can be useful if php ever breaks or dies
# Use with caution, this may break other functions of CMSms that use a config.php
# file. This may also break other programs you have running under your CMSms
# install that use config.php. You may need to add another .htaccess file to those
# directories to specifically allow config.php.
<Files ~ "config.php|CHANGELOG.txt">
order allow,deny
deny from all
</Files>
<Files ~ "tinyconfig.php">
order allow,deny
allow from all
</Files>
Options +FollowSymLinks
RewriteEngine on
RewriteBase /
# unterbindet, das fremde Seiten geladen werden
RewriteCond %{QUERY_STRING} ^(.*)=http://(.*) [OR]
# blockiert libwww (Ausgangspunkt für diverse Hackversuche)
RewriteCond %{HTTP_USER_AGENT} ^libwww [OR]
# Blockiert Skripte, die versuchen, base64 encodierten Unsinn via URL zu versenden
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Blockiert Skripte, die einen a ********** Tag in der URL enthalten
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Blockiert Skripte, die versuchen, PHP GLOBALS Variablen via URL zu verändern
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Blockiert Skripte, die versuchen, eine _REQUEST Variable via URL zu verändern
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{REQUEST_METHOD} ^(TRACE|DELETE|TRACK) [NC,OR]
# Query String Exploits
RewriteCond %{QUERY_STRING} ^.*(;|<|>|'|"|\[|\]|\)|\*|%0|%A|%B|%C|%D|%E|%F|%0A|%0D|%22|%27|%3C|%3E|%5C|%7B|%7C|%00|127\.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|request|union|select|insert|cast|set|declare|drop|update|md5|benchmark|loopback).* [NC,OR]
# if the URI contains a "<script>"
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{REQUEST_URI} ^/(,|;|:|<|>|'>|'<|/|\\\.\.\\).{0,9999}.* [NC,OR]
# Spambots nach User_agent aussperren
RewriteCond %{HTTP_USER_AGENT} ^.*Whacker.*$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailCollector [OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailSiphon [OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailWolf [OR]
RewriteCond %{HTTP_USER_AGENT} ^.*FileHound.*$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^.*TurnitinBot.*$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^.*JoBo.*$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^.*adressendeutschland.*$
RewriteRule ^.* - [F]
# 301 Redirect all requests that don't contain a dot or trailing slash to
# include a trailing slash
# RewriteCond %{REQUEST_URI} !/$
# RewriteCond %{REQUEST_URI} !\.
# RewriteRule ^(.*) %{REQUEST_URI}/ [R=301,L]
# Rewrites urls in the form of /parent/child/
# but only rewrites if the requested URL is not a file or directory
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.+).htm$ index.php?page=$1 [QSA]
---------------------------------------------------------------------------------------
Offline
#4 04. September 2011 23:01
- cyberman
- Moderator
- Ort: Dohna / Sachsen
- Registriert: 13. September 2010
- Beiträge: 6.741
- Webseite
Re:
Welche CMSMS-Version verwendest du?
1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMSMS
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi
Offline
#5 05. September 2011 08:13
- noober
- arbeitet mit CMSMS
- Registriert: 26. April 2011
- Beiträge: 152
Re:
CMS-Version
1.9.4.2
der Fehler tritt/trat aber auch bei älteren Versionen (bis 1.6....) auf
Offline
#6 05. September 2011 10:41
- cyberman
- Moderator
- Ort: Dohna / Sachsen
- Registriert: 13. September 2010
- Beiträge: 6.741
- Webseite
Re:
Funktioniert es mit deaktivierter htaccess?
1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMSMS
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi
Offline
#7 05. September 2011 10:47
- noober
- arbeitet mit CMSMS
- Registriert: 26. April 2011
- Beiträge: 152
Re:
ja, ohne .htaccess gehts
Offline
#8 05. September 2011 10:59
- nockenfell
- Moderator
- Ort: Lenzburg, Schweiz
- Registriert: 09. November 2010
- Beiträge: 2.807
- Webseite
Re:
Dann baue die .htaccess mal eines nach dem anderen auf. Dann findest du irgendwann den Zeitpunkt wo es hakt. Beginne mal mit
RewriteEngine on
RewriteBase /
# Rewrites urls in the form of /parent/child/
# but only rewrites if the requested URL is not a file or directory
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.+).htm$ index.php?page=$1 [QSA] [dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog / Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox, Revisions
Offline
1
- Übersicht
- »
- »