Hallo,
da eine meiner Kundenwebseiten gehackt wurde (Joomla) musste ich diese Seite bereinigen.
Dabei ist mir aufgefallen das auch Spam Scripte im Stats Folder abgelegt wurden.
Jetzt könnte man natürlich versuchen das schreiben in diesem Ordner über Verzeichnisberechtigungen zu unterbinden.
Allerdings stellte sich mir dann erstmal die Frage wieso diese Scripte überhaupt aufgerufen werden konnten da dieser Ordner ja eigentlich über eine Authenifizierung geschützt sein sollte.
Wenn man also ein Script in einem der Unterordner ablegt, also z.B. "/stats/2013-9/test.php"
dann kann diese Datei öffentlich aufgerufen werden und es kommt keine Authentifizierungsanfrage.
Um das zu korrigieren habe ich bei mir die Datei "nginx_vhost.conf.master" angepasst.
Die relevante Stelle sieht bei mir so aus:
location ^~ /stats/ {
<tmpl_var name='web_document_root_www_proxy'>
index index.html index.php;
auth_basic "Members Only";
auth_basic_user_file <tmpl_var name='stats_auth_passwd_file'>;
location ~ \.php$ {
try_files <tmpl_var name='rnd_php_dummy_file'> @php;
}
}
Damit sind auch die Unterordner per Authentifizierung geschützt.
da eine meiner Kundenwebseiten gehackt wurde (Joomla) musste ich diese Seite bereinigen.
Dabei ist mir aufgefallen das auch Spam Scripte im Stats Folder abgelegt wurden.
Jetzt könnte man natürlich versuchen das schreiben in diesem Ordner über Verzeichnisberechtigungen zu unterbinden.
Allerdings stellte sich mir dann erstmal die Frage wieso diese Scripte überhaupt aufgerufen werden konnten da dieser Ordner ja eigentlich über eine Authenifizierung geschützt sein sollte.
Wenn man also ein Script in einem der Unterordner ablegt, also z.B. "/stats/2013-9/test.php"
dann kann diese Datei öffentlich aufgerufen werden und es kommt keine Authentifizierungsanfrage.
Um das zu korrigieren habe ich bei mir die Datei "nginx_vhost.conf.master" angepasst.
Die relevante Stelle sieht bei mir so aus:
location ^~ /stats/ {
<tmpl_var name='web_document_root_www_proxy'>
index index.html index.php;
auth_basic "Members Only";
auth_basic_user_file <tmpl_var name='stats_auth_passwd_file'>;
location ~ \.php$ {
try_files <tmpl_var name='rnd_php_dummy_file'> @php;
}
}
Damit sind auch die Unterordner per Authentifizierung geschützt.