.htaccess Sicherheitsproblem

Dieses Thema im Forum "Server Administration" wurde erstellt von Quest, 15. Apr. 2009.

  1. Quest

    Quest Member

    Hallo zusammen.
    Seit ein paar Tagen ist der Traffic auf meinen Webserver förmlich explodiert.
    Bisher hab ich mir nichts dabei gedacht, weil ich selbst für die Ampache-Installation nach planet_fox's HowTo einige MP3s hochgeladen habe.

    Das ist aber mittlerweile vorbei, deshalb hab ich mir jetzt doch mal die Logs genauer angeschaut.

    Im Webalizer-Log stechen dann sofort Links wie dieser hier ins Auge:
    http://ws.weirdempire.de/var/media/mp3/Jazz/Sade/Diamond Life/
    Das ist so ziehmlich genau der absolute Pfad zu den hochgeladenen MP3s.

    Für die Subdomain ws habe ich folgende Regeln in den Direktiven konfiguriert:
    Code:
    RewriteCond %{HTTP_HOST} ^ws.weirdempire.de [OR]
    RewriteCond %{HTTP_HOST} ^www.ws.weirdempire.de [NC]
    RewriteRule ^(.*)$ /%{REQUEST_URI}?site=1&%{QUERY_STRING} [L]
    Erklärung:
    Für Besucher die die Seite über die Subdomain ws aufrufen soll einfach nur automatisch eine kleine Variable in den Getstring eingebaut werden.
    Funktioniert mit meinen Skripten wunderbar, nur scheinbar gibt das die Möglichkeit auf andere Verzeichnisse des Servers zuzugreifen.
    Wie das möglich ist, ist mir schleierhaft.

    Habt ihr eine Idee wie ich die Direktiven so abändern kann, dass dieser Zugriff nicht mehr möglich ist?

    Für die Zwischenzeit bis ich dazu eine Lösung gefunden habe ersetze ich die Load- durch eine entsprechende Redirect-Anweisung. Nicht so schön, aber wenigstens wieder sicher.
     
  2. planet_fox

    planet_fox Super-Moderator

    Hi Quest

    Ich schau mir das an, kannst du mal die version von ampache sagen und dein Betriebssystem ?

    Kann aber dauern, derzeit ziemlich stressig bei mir.
     
  3. Quest

    Quest Member

    Ampache hab ich die letzte stable.
    Betriebssystem ist bei mir lenny mit allen Paketen auf aktuellem Stand.

    Dass es was mit der Ampache-Installation zu tun hat können wir ausschließen, die ist aus dem Web von weirdempire.de gar nicht erreichbar.
    Es geht nur darum, warum sich jemand offensichtlich frei durch sämtliche Verzeichnisse bewegen kann sobald ich die Regeln aktiv habe.
     

Diese Seite empfehlen