.inc Dateien im Browser lesbar
Verfasst: So 16. Jul 2006, 20:43
Hallo Zusammen,
meine 4.5.2 war 4 Tage lang Angriffen ausgesetzt. Die haben es versucht mit:
Dabei ist mir aufgefallen, das die .inc Dateien mit dem Browser aufgerufen gelesen werden können. Alle .js Scripte ebenso. Ist das nicht ein Sicherheitsrisiko?
Die .inc Dateien habe ich mit:
<Files *.inc>
order allow,deny
deny from all
</Files>
gesperrt, die .js Scripte konnte ich nicht sperren, dann lief Contenido nicht mehr, bzw. das Backend war navigationslos. Mit PHP und der Apache Konfiguration mit .htaccess kenn ich mich nicht so gut aus.
Gibt es da eine Lösung?
PS: Ich weiß ist keine Produktivversion, aber ein Update mit den Modulen ist nicht so leicht gemacht, wird aber bald sein.
Grüße an die Community, Andreas
meine 4.5.2 war 4 Tage lang Angriffen ausgesetzt. Die haben es versucht mit:
und:[11-Jul-2006 20:09:07] /newcms/picture.php?idart=26&picture=87 next_record called with no query pending.
[11-Jul-2006 20:09:07] /newcms/picture.php?idart=26&picture=87 connect(localhost, schweizerhof, $Password) failed.
[11-Jul-2006 20:09:07] PHP Warning: mysql_connect(): Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (11) in /var/www/mnt-hdc1/var.www.html/schweizerhof/newcms/conlib/db_mysql.inc on line 76
Mir ist nicht ganz klar, was sie damit erreichen wollten (bis zu 45 mal in der Sec. eine $Password failed Meldung) aber sie haben wohl nichts erreicht.[13-Jul-2006 04:00:53] PHP Warning: mysql_connect(): Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (11) in /var/www/mnt-hdc1/var.www.html/schweizerhof/newcms/conlib/db_mysql.inc on line 76
[12-Jul-2006 21:52:27] /newcms/picture.php Invalid SQL: SELECT * from con_fotos WHERE foto_id = <br><br>
[12-Jul-2006 21:52:27] /newcms/picture.php next_record called with no query pending.
[12-Jul-2006 21:52:27] /newcms/picture.php Invalid SQL: SELECT * from con_fotos WHERE album_id = ORDER by foto_pos<br><br>
[12-Jul-2006 21:52:27] /newcms/picture.php next_record called with no query pending.
[12-Jul-2006 21:52:27] /newcms/picture.php Invalid SQL: SELECT * FROM con_fotoalbum WHERE idart = <br><br>
Dabei ist mir aufgefallen, das die .inc Dateien mit dem Browser aufgerufen gelesen werden können. Alle .js Scripte ebenso. Ist das nicht ein Sicherheitsrisiko?
Die .inc Dateien habe ich mit:
<Files *.inc>
order allow,deny
deny from all
</Files>
gesperrt, die .js Scripte konnte ich nicht sperren, dann lief Contenido nicht mehr, bzw. das Backend war navigationslos. Mit PHP und der Apache Konfiguration mit .htaccess kenn ich mich nicht so gut aus.
Gibt es da eine Lösung?
PS: Ich weiß ist keine Produktivversion, aber ein Update mit den Modulen ist nicht so leicht gemacht, wird aber bald sein.
Grüße an die Community, Andreas