Files directory Not fully protected
Eingetragen von weberh (163)am 07.04.2015 - 18:49 Uhr in
Was kann ich tun?
Dies scheint eine aufwendige Aktion zu sein, deshalb Frage ich zunächst:
Warnung im Staturbericht drupal 6.35:
--------------------------------------------------
Files directory Not fully protected
See http://drupal.org/SA-CORE-2013-003 for information about the recommended .htaccess file which should be added to the sites/default/files directory to help protect against arbitrary code execution.
--------------------------------------------------
Gruß Hartmut
- Anmelden oder Registrieren um Kommentare zu schreiben
so schwierig ist es doch nicht
am 07.04.2015 - 20:44 Uhr
in dem Artikel steht doch alles genauestens erklärt, was warum gemacht werden sollte.
Sogar eine .htaccessdatei ist dort beschrieben, die man einfach übernehmen kann.
weberh schrieb Dies scheint
am 07.04.2015 - 20:49 Uhr
Dies scheint eine aufwendige Aktion zu sein.
Es ist überhaupt nicht aufwendig.
Versuche es mal mit diesem Inhalt in der .htaccess
# Turn off all options we don't need.
Options None
Options +FollowSymLinks
# Set the catch-all handler to prevent scripts from being executed.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
<Files *>
# Override the handler again if we're run later in the evaluation list.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003
</Files>
# If we know how to do it safely, disable the PHP engine entirely.
<IfModule mod_php5.c>
php_flag engine off
</IfModule>
# PHP 4, Apache 1.
<IfModule mod_php4.c>
php_flag engine off
</IfModule>
# PHP 4, Apache 2.
<IfModule sapi_apache2.c>
php_flag engine off
</IfModule>
Eventuell muß du oben noch
Options None
Options +FollowSymLinks
auskommentieren, wenn das der Server verlangt. Der meldet sich dann mit einem 500ter Fehler.
Gruß
Berthold Lausch
Ich habe in der .htaccess die
am 10.09.2015 - 15:12 Uhr
Ich habe in der .htaccess die Zeilen ergänzt (filezilla, also manuell) und später die Option Anweisungen gelöscht. Ich erhalte jeweils den Fehler:
---------
Fehler: Datei nicht gefunden
Die Dateien unter http://www.psychodrama-netz.de/ konnten nicht gefunden werden.
Bitte überprüfen Sie die Adresse auf Rechtschreib-, Groß-/Kleinschreibungs- oder andere Fehler.
Bitte überprüfen Sie, ob die Adresse umbenannt, gelöscht oder verschoben wurde.
---------
Ich habe verschiedene Konstellationen ausprobiert leider war nichts. Die .htaccess Datei hab ich jeweils so gelassen wie sie war.
Jetzt ist wieder der erste Zustand.
Gruß Hartmut Weber
du hattest die Manipulationen offenbar
am 10.09.2015 - 19:35 Uhr
in der document root vorgenommen, und nicht im files ordner