Rechte der Dateien

1. offizieller Beitrag

    Hallo!

    Wir nutzen SEO V 2.0.8, gehostet bei 1&1.
    Wegen eines Hackerangriffs auf dem Webspace haben wir jetzt auch bei dem Unterverzeichnis des Shops im 1&1-Webspace ALLE Dateien auf "444" gesetzt.

    Kann mir jemand sagen, ob wir bestimmte Dateien (und welche) auf "644" setzen müssen, damit der Shop ordnungsgemäss funktioniert?

    Wir haben kleinere Probleme bemerkt (neu erstellte Boxen können textlich nicht verändert werden, wenn sie einmal gespeichert sind..) und wollen vor dem relaunch Fehler vermeiden, die die Kunden merken :)

    Viele Grüsse,
    IOcouture

    Hallo,
    habe das gleiche Problem : neu erstellte Boxen können textlich nicht verändert werden, wenn sie einmal gespeichert sind.. weder Boxname, noch Inhalt.

    Freue mich auf die Antwort :), dann kanns weiter gehen!

    Lg
    L-Desire

    Zitat von paulchen

    http://faq.commerce-seo.de/content/8/84/d…-webserver.html



    Danke dafür. Hatte ich gelesen. Aber/Und: Ich habe ALLE Dateien auf 444 gesetzt, nicht nur die vier/fünf aus dem Handbuch. Bringt DAS Probleme? Und: Wofür ist die Sitemap.xml und warum auf 777? Damit öffnet man doch alle Türen ..... Kannst Du dies beantworten? :)

    Hackerangriff: Nein, kein FTP-Spion. Wir hatten leider PHP 4.6 und nicht PHP 5 gesetzt. Zusammen mit der offenbar bekannten Sicherheitslücke beim Shop-Modul bei Joomla (Exportfunktion) gelang die Implantierung eines Scripts und alle Domains des gleichen Webspaces waren nicht mehr erreichbar. Dem Ganzen vorher gingen Nachrichten des Systems, dass der Admin neue Passwörter angefordert hätte - jetzt wissen wir, dass dies das sichere Anzeichen dafür ist, dass man schnellstens alles verriegeln sollte. Übrigens war 1&1 als Provider absolut und auch an den Wochenenden (kostenfrei!) behilflich, alles zu klären, backups zu machen, Hilfen zu geben etc.

    Viele Grüsse.

    prinzipiell wäre hier ein eingehendes studium mit benutzerechten unter *ix-system für dich interessant.

    diese sind folgendermaßen gruppiert: rwxrwxrwx
    das 1. "rwx" betrifft den besitzer der datei (respektive eigentümer oder auch ersteller - das läßt sich mit chown ändern), das 2. die gruppe, welcher der besitzer angehört und das 3. den rest der welt.

    r=read
    w=write
    x=execute

    die sitemap.xml beinhaltet lediglich die sitemap. sie hat 777, da sie vom shop erstellt werden muss und jeder soll sie auch lesen können - sonst ist das ganze sinnlos. theoretisch könnte auch ein 744 oder 755 reichen oder gar ein 644, was aber eigentlich irrelevant ist.

    die wichtigsten sicherheitsrelevanten punkte sind: die 4 configure-dateien nur lesbar einrichten (im "ungünstigsten" fall chmod 444), da sie die zugangsdaten zur datenbank beinhalten.
    man kann die configure-dateien auch auf 777 setzen und das macht trotzdem nix. vorerst! da die configs eine php-endung haben und nicht im klar- btw. quelltext downloadbar sind. ES SEI DENN, man hat eine php-shell mittels joomla oder auch diesem shop ;) installiert und liest nun die configs aus. das würde leider theoretisch auch bei chmod 400 funktionieren.

    der punkt ist einzig der, dass bei chmod 444 oder restriktiver der SHOP als risiko, nach jetzigem kenntnisstand, ausgeschlossen wird.

    zu deinem server: welche rechte für php-dateien nötig sind, kommt einzig auf deine system-konfiguration an: unter welchen rechten läuft dein php-parser und der apache?
    wenn du es nicht weißt, musst du es testen -> einfach mal die index.php auf chmod 400 setzen (bei mir läuft der shop auch so ;)) wenn das nicht geht, 440, dann 444 etc. dateien/ordner die der shop erstellt/ändert brauchen schreibrechte. beim testen jeweils vorher immer den cache leeren (shop + browser <-da am besten direkt ausschalten-wenigstens temporär)

    chmod wird interessanter, wenn sich ANDERE user auf deiner maschine befinden, sowie bei statischen inhalten.

    das EIGENTLICHE sicherheitsrisiko ist ein schreibzugriff auf den server (via ftp, ssh, telnet, php inkl. skripte [in deinem fall das joomla-modul] etc.)

    was kann man tun? immer die aktuellsten sicherheitsupdates einspielen (d.h. NICHT immer die aktuellste softwareversion), statt ftp sftp o.ä. verwenden etc.

    Einmal editiert, zuletzt von paulchen (14. Februar 2011 um 17:09)

    ps: der shop bringt auch eine warnmeldung, wenn die configure-files auf 440 oder 400 stehen und behauptet er hätte schreibrechte, was jedoch nicht stimmt. er erkennt einzig und allein, dass chmod ungleich 444 ist. das ist alles.

    @ Paulchen

    Vielen Dank für Deine Antwort. Ich denke, so langsam verstehe ich das Thema :) (..... das war jetzt masslos übertrieben .....). Es macht Sinn, hierfür Zeit zu investieren. Ich denke, alles andere wäre einfach fahrlässig. Da nutzt dann auch die beste Software nichts. Viele Grüsse.

    • Offizieller Beitrag

    Das wichtige ist, dass der Shop die Ordner cache, templates_c (Frontent+/admin) und images beschreiben kann. Neu in der v2 ist der cache Ordner im Template. Der muss auch schreibbar sein.
    Eine Pauschalaussage, was genau für Rechte zu vergeben sind, ist leider nicht möhlich, da manche Server 777 benötigen und manche eben nicht. alles auf 444 setzen ist nicht immer praktikabel. Bei 1und1 in Deinem Falle sollten die Ordner rekursiv auf 755 stehen. Das heißt:
    User = rwx, Gruppe=rx, Other=rx
    Wie aber Paulchen schon sagt, wenn der zugang selbst gehackt wurde, also mittels FTP zugegriffen wird, können natürlich die Rechte nach belieben angepasst werden. Du solltes also Deine Software in Schuss halten und die Zugänge regelmäßig aktualisieren.

    <p>Wir geben nur Anregungen und Hilfestellung auf Basis unserer Erfahrung, keine Rechtshilfe!<br>\m/('_')\m/</p>