config.php per .htaccess schützen oder oberhalb des Verzeichnis einer domain ablegen?

... komplette Frage anzeigen

3 Antworten

Zum bisher gesagten, noch ein kleiner Hinweis:

Es kommt selten mal vor, dass das PHP-Modul des Webservers abschmiert, und in Kombination mit anderen subtileren Fehlkonfigurationen dann der PHP-Quelltext direkt ausgeliefert wird, wenn du z. B. "http://www.domain.com/index.php" aufrufst.

Ich habe "selten" geschrieben, und meine damit alle paar Jahre mal für ein paar Stunden. (Weil z. B. ein Admin etwas verhunzt hat, oder ein Update in die Hose gegangen ist, oder oder oder ...)

Das Jahr hat 365 Tage und wenn wir davon ausgehen, dass so etwas im Schnitt alle 3 Jahre mal für eine Stunde vorkommt, dann landen wir bei jedem 26280sten Zugriff.

Das klingt jetzt erst mal unrealistisch, aber normalerweise suchen Crawler automatisiert nach solchen Dingen und nutzen dabei einige Tausend gleichzeitiger Verbindungen. Selbst schwache Rechner schaffen mit mäßiger Bandbreite locker 5000 gleichzeitige Verbindungen.

Das heißt: So ein Crawler wird selbst im schlechtesten Falle ca. alle 5 Sekunden einen Treffer landen und den PHP-Quelltext einer Website auslesen können!

Das hängt zwar sehr stark vom Webserver ab, aber z. B. hier bei GF passiert das alle paar Wochen / Monate mal! Es gibt natürlich auch sehr fähige Admins, auf deren Servern so etwas über Jahre hinweg nicht ein einziges mal passiert, aber es gibt auch Leute, die es nicht gebacken kriegen, und das Genannte alle paar Tage auftritt. Ich beziehe mich hier also nur auf den Durchschnitt!

Wenn jetzt also so ein Crawler einen PHP-Quelltext entdeckt, wird direkt im Anschluss nach gängigen Konfigurationsdateien oder anderen "wertvollen" Daten gesucht. Zum Beispiel "config.php". Und damit wären deine Zugangsdaten Dritten bekannt!

Das nur mal als Beispiel, wie leicht und schnell man an wichtige Daten von fehlkonfigurierten Servern ran kommen kann!

Viel Erfolg noch beim Absichern deiner Website! :)

Antwort bewerten Vielen Dank für Deine Bewertung
Kommentar von TeeTier
09.10.2016, 06:14

PS: Ich habe gerade einen Test mit 10000 parallelen Verbindungen gemacht. Ich hatte in 10 Sekunden 25 Treffer und in dieser Zeit insgesamt 100000 Server getestet.

Man kann also sagen, dass 0,025% aller Server von dem Problem betroffen sind. Klingt jetzt wenig, aber immerhin habe ich innerhalb von nur 10 Sekunden 25 Treffer gelandet.

Also investiere ruhig noch ein bisschen Zeit in die Absicherung deiner Server!

Ich persönlich mache zwar bloß harmlose Tests, aber da draußen gibt es hunderte von kriminellen Hackern, die es tatsächlich auf nutzbare Daten abgesehen haben.

Viel Erfolg! :)

PPS: Habe gerade nochmal genau 1 Mio. Server getestet, weil es ja eh so schnell geht, und habe 218 Treffer gelandet, also etwas weniger, als oben beschrieben. Hab dafür unter 2 Minuten benötigt, aber immerhin!

1

Ich frag mich warum du versuchst diese nicht von aussen zugänglich zu machen? Entfern doch mal die blockierubg und ruf die seite auf und du wirst sehen das die seite weiß ist weil du php nicht anweist irgendetwas auszugeben

Antwort bewerten Vielen Dank für Deine Bewertung
Kommentar von LeonardM
08.10.2016, 13:06

da ist zu viel text für mich :D bin kein wordpress nutzer

0

Das ist gut wenn man dem FTP user für htdocs ordner  nicht die möglichkeit geben will auf die config.php zugreifen zu können wegen datenbank passwort etc .

Antwort bewerten Vielen Dank für Deine Bewertung
Kommentar von RakonDark
08.10.2016, 13:13

aber wer nicht doof ist , liesst die datei dann mit php aus und lässt es anzeigen . hilft also alles nicht wirklich , nur das halt wenn der server kein php interpretieren sollte sind die dateien natürlich geschützter .

1
Kommentar von klugshicer
08.10.2016, 13:21

Weißt Du zufällig ob ein cracker der es geschafft hat eine c99-Shell zu installieren, auf Dateien zuzugreifen kann, die sich oberhalb von DocumentRoot befinden?

0