Was man nicht tun sollte

Clemens

New Member
Ich bin Online-Produzent und als solcher entwickle ich nicht nur Programme, ich teste sie auch. Und bei solchen Test, muss immer wieder "was passiert wenn" geprüft werden. Bei einem solcher Tests schaltete ich die Möglichkeit im Browser auf meta-refresh aus (mit einem Plugin vom Firefox ist das möglich).

Das war vor ein paar Tagen. Das Programm hat im übrigen super darauf reagiert, so wie gewollt. Doch nun musste ich ins ISPConfig des Servers, um einen neuen Account anzulegen. Doch es ließ mich nicht hinein. Und da in letzter Zeit die Versuche von Cracker extrem zugenommen haben ins System einzudringen, schob ich erst einmal Panik. Per ssh kam ich auf den Server drauf, auch ins phpmyadmin, nur ins Panel kam ich nicht.

Ich wollte hier im Forum schon nachfragen, wie ich das Problem löse, als ich einen Geistesblitz hatte und meine Einstellungen noch einmal geprüft habe. Meta-Refresh war noch immer ausgeschaltet. Puh, das wars. Einloggen war wieder problemlos möglich. Ich habe dennoch das System auf Eindringlinge gecheckt, doch außer mir scheint niemand drinnen gewesen zu sein, die logs sind alle da und die letzten Änderungen an speziellen Dateien tragen genau das Datum/Uhrzeit meiner letzten Änderung. Zudem hat mir OSSEC keine entsprechenden Meldungen gemacht (außer den Hackversuchen der Cracker, die aber mit banalen Mitteln nicht hinein kommen (kleiner Tipp, achtet auf safe_mode = on und allow_url_include = off; Scripte die anderes benötigen sollten in die Tonne))

Also, wenn ihr testet, danach immer alle Änderungen zurückstellen, sonst geht es euch mal so wie mir: 1 Liter Schweiß verloren, Blutdruck bei ca. 250 / 180, Puls eines Kolibris, Handteller große Augen, Pupillen in Größe von Mikrometer und Hände die einen Faden in eine laufende Nähmaschine hätten einfädeln können.

Schönen Tag noch.
 

sirrus

New Member
Browser-Meta Refresh

Mal so nebenbei - das könnte zwar der Sicherheit beitragen, aber Meta Refresh wird so ziemlich von allem mir bekannten Webservern für die ein oder andere Seite verwendet.

Das sollte man niemals abschalten!

Der MetaRefresh wird auch häufig eingesetzt, wenn eine Webseite umgezogen ist und man keinen Zugriff auf die Apache Konfig hat.

Es ginge aber auch so:

Code:
<?php
// HTTP 301 Moved Permanently redirection
header("HTTP/1.1 301 Moved Permanently");
header("Location: http://www.example.org/");
exit();
?>

Das macht aber nicht jeder so - und vor allem macht das bei Login Proceduren keinen Sinn.

Grüße,
Andreas
 

Werbung

Top