Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.

#26 16. September 2015 18:50

nockenfell
Moderator
Ort: Lenzburg, Schweiz
Registriert: 09. November 2010
Beiträge: 2.927
Webseite

Re: HowTo: CMS/made simple absichern

Gleich ergänzt.


[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog  /   Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox

Offline

#27 17. September 2015 11:10

faglork
arbeitet mit CMS/ms
Ort: Fränkische Schweiz
Registriert: 15. Dezember 2010
Beiträge: 1.152
Webseite

Re: HowTo: CMS/made simple absichern

cyberman schrieb:

Aus gegebenen Anlässen - trotz aller Absicherungen kann es passieren, dass mal eine Seite gehackt wurde,

"Was tun?" spricht Zeus, "die Welt ist weggegeben" (frei nach Schiller)

Was jetzt auf euch zukommt, bedeutet eine ganze Ecke Arbeit. Wie die Arbeit in diesem Fall konkret aussieht, hat @nockenfell hier

http://www.cmsmadesimple.de/forum/viewt … 536#p14536

chronologisch für euch festgehalten (gilt natürlich nicht nur bei Malware wink).

Sollte man ausgliedern und anpinnen. Gleich neben der Anleitung zum Absichern. (Oder hab ich das übersehen?)

Servus,
Alex

Offline

#28 17. September 2015 12:04

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.017
Webseite

Re: HowTo: CMS/made simple absichern

Titel geändert und fixiert!

Offline

#29 07. Oktober 2015 15:23

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.017
Webseite

Re: HowTo: CMS/made simple absichern

Punkt 2.3/2.4 neu strukturiert und überarbeitet.

Offline

#30 08. Oktober 2015 11:20

Klenkes
Server-Pate
Ort: 89428 Syrgenstein
Registriert: 17. Dezember 2010
Beiträge: 1.437

Re: HowTo: CMS/made simple absichern

Zu Punkt 2.3.2:
Ich glaube die ersten 2 Zeilen müssen noch raus:

order deny,allow
deny from all
<Files ~ ".*\.css|.*\.js|.*\.gif|.*\jpe?g|editor.php|thumbs.php|images.php|xajax.js|xajax_uncompressed.js|editorFrame.php$">
Order deny,allow
Allow from all
</Files>

Des Weiteren gibt es dann aber Probleme mit AdvancedContent.
Folgende JS Fehlermeldung tritt im Backend auf:

Javascript schrieb:

Error: the xajax Javascript component could not be included. Perhaps the URL is incorrect?
URL: ../lib/xajax/xajax_js/xajax_core.js

Offline

#31 08. Oktober 2015 12:40

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.017
Webseite

Re: HowTo: CMS/made simple absichern

Danke für den Hinweis!

Habs geändert - die xajax Sache wundert mich aber trotzdem. Ist doch ausdrücklich freigeschaltet ...

Offline

#32 08. Oktober 2015 13:56

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.435

Re: HowTo: CMS/made simple absichern

Wenn Du JavaScript-Dateien erlaubst, brauchst Du doch xajax nicht explizit nochmal zu erlauben, oder?
Das hier sollte es für's lib-Verzeichnis eigentlich schon tun:

Order allow,deny
<FilesMatch ".*\.css|.*\.js|.*\.gif|.*\jpe?g|editor.php|thumbs.php|images.php|editorFrame.php$">
	Order deny,allow
</FilesMatch>

Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)

Offline

#33 09. Oktober 2015 08:40

Klenkes
Server-Pate
Ort: 89428 Syrgenstein
Registriert: 17. Dezember 2010
Beiträge: 1.437

Re: HowTo: CMS/made simple absichern

NaN schrieb:

Das hier sollte es für's lib-Verzeichnis eigentlich schon tun:

<FilesMatch ".*\.css|.*\.js|.*\.gif|.*\jpe?g|editor.php|thumbs.php|images.php|editorFrame.php$">
	Order deny,allow
</FilesMatch>

Funktioniert!

Offline

#34 09. Oktober 2015 12:10

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.017
Webseite

Re: HowTo: CMS/made simple absichern

Danke für's Feedback - hab es übernommen.

Offline

#35 31. Dezember 2015 22:19

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.017
Webseite

Re: HowTo: CMS/made simple absichern

cyberman schrieb:

Wählt für den Administrator-Zugang einen möglichst nicht zu erratenden Namen und Passwort. Hierzu eine kurze Tabu-Liste für Passwörter:

- einzelnen Wörter oder Zahlenfolgen (wie etwa admin, administrator oder abcde / 12345 o.ä.)
- persönlichen Informationen (Vor-/Nachnamen, Geburtsdaten oder Ort des Firmensitz des Webseiten-Besitzers o.ä.)
- ein einfaches Wort rückwärts schreiben
- dasselbe Passwort für mehrere Seiten nutzen

Stattdessen sollte das Passwort sollte MINDESTENS acht Zeichen lang sein (12-16 Zeichen sind ideal), aus Groß- und Kleinbuchstaben bestehen sowie Zahlen und Sonderzeichen enthalten (idealerweise mittendrin).

Wenn ihr euch nicht im Klaren darüber seid, ob die Qualität eures Passwortes ausreichend ist, nutzt doch einfach das Passwort Meter wink

http://www.passwordmeter.com/

Offline

#36 11. Januar 2016 21:09

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.017
Webseite

Re: HowTo: CMS/made simple absichern

cyberman schrieb:

Wenn ihr euch nicht im Klaren darüber seid, ob die Qualität eures Passwortes ausreichend ist, nutzt doch einfach das Passwort Meter wink

http://www.passwordmeter.com/

Einen hochwertigen "amtlichen" Passwort-Prüfer findet ihr hier

https://review.datenschutz.ch/passwortcheck/check.php

Ist ein Service des Datenschutzbeauftragten des Kantons Zürich.

Offline

#37 11. Januar 2016 21:26

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.017
Webseite

Re: HowTo: CMS/made simple absichern

Punkt 2.3.4 eingefügt, Punkt 3.5 erweitert.

Offline

#38 05. Februar 2016 16:43

Dancer62
Server-Pate
Ort: 26345 Bockhorn, Niedersachsen
Registriert: 08. November 2013
Beiträge: 414

Re: HowTo: CMS/made simple absichern

@cyberman : Ich habe Punkt 1.2 gemäß Deiner Erklärung versucht durchzuführen, was bei mir jedoch aufgrund mangelnder Rechte scheiterte. Nach Rücksprache mit meinem Provider konnte ich jedoch das Tabellenpräfix manuell via phpMyAdmin für alle Tabellen ändern. Auch die config.php wurde geändert und er gab mir keine Fehlermeldung aus.
Beim Aufruf der Webseite dann das böse Erwachen : die Menüleiste war weg und nach dem Einloggen ins Backend fehlten sämtliche Seiten... sad
Vor Schreck habe ich erstmal die Umbenennung wieder rückgängig gemacht - hurra, die Seiten sind wieder da und werden angezeigt.

Nun habe ich aber eine Frage : mache ich etwas falsch und wenn ja - was ? Warum sind nach dem (erfolgreichen) Umbenennen plötzlich die Seiten nicht mehr sichtbar ? Habe ich etwas vergessen, was im Skript vorgesehen und durchgeführt wird ?

Ich würde meine Installation gerne etwas robuster und sicherer machen, aber in diesem Punkt funktioniert das momentan leider noch nicht.

Bei Punkt 3.5 und 3.6 gibt er mir die Fehlermeldung "Internal Server Error" aus. Auf Nachfrage bei meinem Provider bekam ich die Antwort, "...Ungültige Einträge in der .htaccess-Datei liefern immer einen 'Internal Server Error'.
Sie haben einen ganzen Block eingefügt, der zu diesem Fehler führt, bitte identifizieren Sie die problematischen Zeilen. Zu einzelnen Einträgen werden wir natürlich Stellung beziehen
...". Da ich davon ausgehe, dass Ihr die Einträge vorher natürlich geprüft habt, verstehe ich nicht, warum einzelne (???) Einträge ungültig sein sollen. Und falls doch - woran erkenne ich sie (außer durch Ausprobieren) ?


Man ist so alt, wie man sich fühlt...

Offline

#39 05. Februar 2016 16:52

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.435

Re: HowTo: CMS/made simple absichern

Nun habe ich aber eine Frage : mache ich etwas falsch und wenn ja - was ? Warum sind nach dem (erfolgreichen) Umbenennen plötzlich die Seiten nicht mehr sichtbar ? Habe ich etwas vergessen,

Zwischenspeicher gelöscht?

Da ich davon ausgehe, dass Ihr die Einträge vorher natürlich geprüft habt, verstehe ich nicht, warum einzelne (???) Einträge ungültig sein sollen.

Weil jeder Server anders ist.

woran erkenne ich sie (außer durch Ausprobieren) ?

Da wirst Du wohl leider keine andere Wahl haben.


Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)

Offline

#40 06. Februar 2016 12:30

Dancer62
Server-Pate
Ort: 26345 Bockhorn, Niedersachsen
Registriert: 08. November 2013
Beiträge: 414

Re: HowTo: CMS/made simple absichern

NaN schrieb:

Nun habe ich aber eine Frage : mache ich etwas falsch und wenn ja - was ? Warum sind nach dem (erfolgreichen) Umbenennen plötzlich die Seiten nicht mehr sichtbar ? Habe ich etwas vergessen,

Zwischenspeicher gelöscht?

Ja, aber keine Wirkung, das Ergebnis ist wie vorher. Habe das Ganze auch im Wartungsmodus ausgeführt, die Seitenhierarchie und die Routen aktualisiert - aber leider alles ohne Erfolg.


Man ist so alt, wie man sich fühlt...

Offline

#41 06. Februar 2016 18:02

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.017
Webseite

Re: HowTo: CMS/made simple absichern

Jetzt haben sich aber meine grauen Zellen eine Pause verdient - ich wusste, dass wir dazu vor längerem mal einen Beitrag hatten, nur hatte ich keine Ahnung mehr, wonach ich suchen sollte.

Lange Rede, kurzer Sinn - es gibt da wohl möglicherweise Probleme mit bestimmten Indizes, was hier beschrieben wurde (inklusive Lösung)

http://www.cmsmadesimple.de/forum/viewt … 076#p30076

Hab gleich den Titel dieses Themas geändert, fixiert und den Hinweis oben im Text ergänzt

Offline

#42 09. Februar 2016 23:10

Dancer62
Server-Pate
Ort: 26345 Bockhorn, Niedersachsen
Registriert: 08. November 2013
Beiträge: 414

Re: HowTo: CMS/made simple absichern

Danke cyberman, Dein Tipp hat mir den Abend gerettet. Habe das Skript nach dem Umbenennen der Tabellen erfolgreich angewandt. smile

Gruß,

Dancer62


Man ist so alt, wie man sich fühlt...

Offline

#43 09. Februar 2016 12:37

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.017
Webseite

Re: HowTo: CMS/made simple absichern

Optimal wäre natürlich, wenn man die beiden Scripte (Prefix-Changer + -Corrector) verknüpfen würde ...

Offline

#44 17. Februar 2016 11:48

owr_web
Server-Pate
Registriert: 16. Dezember 2010
Beiträge: 543

Re: HowTo: CMS/made simple absichern

Hätte da noch eine Anregung:

Vielleicht könnte bei der Absicherung des admin-Verzeichnisses (2.2.2) noch das Problem mit mod_rewrite hinzufügen:

Wenn mod_rewrite eingeschaltet ist, sollte bei Problemen in der .htaccess des zu schützenden Verzeichnisses am Anfang folgendes eingefügt werden:

ErrorDocument 401 "Unauthorized Access"
RewriteEngine off

Offline

#45 17. Februar 2016 22:45

Dancer62
Server-Pate
Ort: 26345 Bockhorn, Niedersachsen
Registriert: 08. November 2013
Beiträge: 414

Re: HowTo: CMS/made simple absichern

NaN schrieb:

woran erkenne ich sie (außer durch Ausprobieren) ?

Da wirst Du wohl leider keine andere Wahl haben.

Ich habe jetzt die fragliche Anweisung identifiziert. Es handelt sich um

Was bewirkt diese Anweisung und hat es evtl. Nachteile, wenn ich die Anweisung in der .htaccess weglasse ?


Man ist so alt, wie man sich fühlt...

Offline

#46 18. Februar 2016 08:25

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.435

Re: HowTo: CMS/made simple absichern

Einfach mal danach suchen wink
Damit wird erklärt was das "Options +FollowSymlinks" macht.

Und hier ist eine nette Erklärung, was "FollowSymlinks" tatsächlich bedeutet.

Kurz:
In Deinem Falle darfst Du die Servervorgaben offensichtlich nicht überschreiben.
Soll aber auch egal sein. Du wirst höchstwahrscheinlich eh keine Symlinks nutzen.


Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)

Offline

#47 19. Februar 2016 08:12

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.017
Webseite

Re: HowTo: CMS/made simple absichern

owr_web schrieb:

Hätte da noch eine Anregung:

Vielleicht könnte bei der Absicherung des admin-Verzeichnisses (2.2.2) noch das Problem mit mod_rewrite hinzufügen:

Wenn mod_rewrite eingeschaltet ist, sollte bei Problemen in der .htaccess des zu schützenden Verzeichnisses am Anfang folgendes eingefügt werden:

ErrorDocument 401 "Unauthorized Access"
RewriteEngine off

Ich steh garantiert gerade auf der Leitung - warum sollte ich mod_rewrite ausschalten, wenn es doch gar nicht aktiviert ist? Oder meinst du damit die Vererbung aus der htaccess aus dem root?

Offline

#48 19. Februar 2016 08:47

owr_web
Server-Pate
Registriert: 16. Dezember 2010
Beiträge: 543

Re: HowTo: CMS/made simple absichern

cyberman schrieb:

Ich steh garantiert gerade auf der Leitung

Musst du mir alles nachmachen? devil

Eigentlich ganz einfach erklärt:
Wenn das Verzeichnis passwortgeschützt ist, lädt sich der Server zur Sicherheit mal bereits beim ersten Zugriff, also VOR dem Login das Error-Dokument. Wenn das nicht existiert (also kein eigenes erstellt wurde, was ja nicht zwingend notwendig ist) will mod_rewrite auf die eigene Seite mit dem entsprechenden Alias zugreifen. Das gibt es aber nicht, daher wird die Fehlerseite ausgespuckt. Dadurch komme ich also nie mehr in den Admin-Ordner.

Ich hatte es zuerst nur mit der zweiten Zeile (off) versucht - hatte aber keine Wirkung. erst der Hinweis aufs 401 brachte den Erfolg.

Ach ja - wenn ein eigenes 401er Dokument erstellt (und vom Server "an"erkannt) wird dann brauchts die zwei Zeilen nicht. Denn dann findet er ja das Dokument.

Weibei ich mir wieder mal die Frage stelle warum gibts die Möglichkeit für eine 403er und 404er, aber nicht für ein 401er Seite in der Auswahl der Fehlerseiten - ok die Frage war rhetorisch

Beitrag geändert von owr_web (19. Februar 2016 08:47)

Offline

#49 21. Februar 2016 16:21

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.017
Webseite

Re: HowTo: CMS/made simple absichern

Ok, danke für die Erläuterung. Werd es oben mit einpflegen.

owr_web schrieb:

warum gibts die Möglichkeit für eine 403er und 404er, aber nicht für ein 401er Seite in der Auswahl der Fehlerseiten

Ähmm, gut gedacht, schlecht (=inkonsequent) gemacht tongue ?

Offline

#50 11. Oktober 2016 11:01

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.017
Webseite

Re: HowTo: CMS/made simple absichern

Aus gegebenem Anlass - Punkt 4.4 4 eingefügt.

Offline