HTACCESS - Datei Und viele Fragen

KaptnIglo · 13. Oktober 2016

Moin,
meine Internetseite ist mit Joomla nun auch gehackt worden und ich habe leider das "Thema" Sicherheit vernachlässigt und das will ich nun nachholen.
Wie ich lesen konnte ist die htaccess - Datei ein wichtiger Punkt im Hackerschutz.
Ich habe aber 2 Dateien bei mir auf dem Server liegen .htaccess und htaccess.txt - was hat es damit auf sich?

Aber ich habe erstmal von Joomla Security eine sichere htaccess Datei für Joomla 3.x runtergeladen und meine bestehende Datei ersetzt. Ergebnis war,
das meine grafische Joomla-Oberfläche verschwunden war und ich nur noch die Menüs in Texten in einer Baumstruktur sehen konnte. Aufrufen lies sich auch nichts mehr.
Was kann ich da tun um das zu optimieren.Habe jetzt erstmal wieder meine alte Datei hingestellt jetzt sieht es wieder "schön bunt " aus.

Danke für Eure Unterstützung.

j!-n · 13. Oktober 2016

Die htaccess von Joomla Security ist reines Schlangenöl, die braucht kein Mensch, also Finger weg davon. Die Administration sollte abgesichert werden, entweder über einen Zugriffsschutz in deinem Kundenpanel beim Hoster, oder die simple Lösung mit Xssen: http://www.x5forum.home-wiekau.de/xssen.php

Elwood · 13. Oktober 2016

Ergänzend zu Chris:

Der Hack sollte natürlich auch bereinigt sein. Sonst schützt auch eine .htaccess nicht vor einem erneuten Angriff.
Bereinigen lassen oder ein sauberes Backup einspielen.

KaptnIglo · 13. Oktober 2016

Besten Dank für den Tipp! Dann werde ich mal die htaccess mit nem Passwort schützen! Ein ältere Dame backup habe ich eingespielt. Gehe erstmal davon aus, dass ich den hack damit wieder entfernt habe. Das vermeintliche Plugin habe ich deinstalliert.

Elwood · 13. Oktober 2016

Zitat von KaptnIglo

Gehe erstmal davon aus, dass ich den hack damit wieder entfernt habe

Wenn du den Webspace vorher komplett gelöscht hast vermutlich ja.
Und die dazugehörige alte DB würde ich löschen und die aus dem Backup neu einspielen.

Hast du ein Link zur Seite?

j!-n · 13. Oktober 2016

Zitat von KaptnIglo

Gehe erstmal davon aus, dass ich den hack damit wieder entfernt habe

Aber die Sicherheitslücke ist damit nicht geschlossen.

KaptnIglo · 13. Oktober 2016

Habe ein älteres BackUp eingespielt. Und das PlugIn deinstalliert...plus Kennwörter geändert.
Seite lautet: www.su-Foto.de

gruss
KaptnIglo

KaptnIglo · 13. Oktober 2016

Moin Leute,
vielleicht bin ich ja ein bißchen blöd.....ABER...ich habe das Programm von Chris runtergeladen und ausprobiert.
Habe mal testweise das Verzeichnis administrator ausgewählt und mit dem Programm geschützt.
Beide Dateien wurde auch ordnungsgemäß in das Verzeichnis eingestellt! Jetzt passiert folgendes, wenn ich mich bei Joomla versuche
einzuloggen eben unter der Adresse /administrator poppt eine Passwortabfrage hoch (bevor ich mich bei Joomla selbst anmelden kann!)....das finde ich auch gut. Nur egal was ich dort eingebe, das Kennwort oder Benutzer ist falsch. Also alles nochmal zurück und von neuem....geht wieder nicht. Was mache ich denn da bitte falsch?
Was ist der AuthName "PRIVAT" den mir das Programm neben Benutzername und Passwort zurückgibt?

Danke für die Hilfe! ->NewBie

Sieger66 · 13. Oktober 2016

Demo User anlegen

http://wiki.selfhtml.org/wiki/…taccess/Zugriffskontrolle

Eventuell ist dein absoluter Pfad bei AuthUserFile in der .htacces falsch, insbesondere wenn du die Dateien .htacces und .htpasswd in einen anderen Dateiordner verschoben hast.

http://www.joomlaportal.de/joo…nsundeins.html#post143161

https://faq.1blu.de/content/48…etpraesenz-ermitteln.html

kitepascal · 14. Oktober 2016

Zitat

Eventuell ist dein absoluter Pfad bei AuthUserFile in der .htacces falsch, insbesondere wenn du die Dateien .htacces und .htpasswd in einen anderen Dateiordner verschoben hast.

xssen.php muss bei Ausführung im zu schützenden Verzeichnis liegen.
example.org/administrator/xssen.php

Dann funktioniert das eigentlich immer.

KaptnIglo · 15. Oktober 2016

Hallo,
jetzt bin ich mal dazu gekommen, die Links von Sieger zu checken. Also wenn ich im Backend schaue was bei mir im Eintrag DOC_ROOT steht habe ich da einen Eintrag NO_VALUE als LOCAL und MASTER Eintrag. Was muss ich da eintragen bzw. wo hinterlege ich das? BZW. wie bekomme ich heraus was ich da eintragen muss?

Danke für die Geduld

Sieger66 · 16. Oktober 2016

1. Bei welchem Webhoster bist du ?

2.:

Zitat von KaptnIglo

im Eintrag DOC_ROOT

Das ist nicht der erforderliche absolute Pfad (document root) deiner Website. Da mußt du auch nichts dran ändern oder eintragen.

Was steht denn hinter AuthUserFile in der .htacces ?

Nachfolgendes in eine neue Datei z.B. info.php im Webspace, im gleichen Dateiordner ablegen wo auch die .htpasswd ist, ablegen und diese Datei mit dem Browser aufrufen:

PHP

<?php   echo "Diese Datei ist in folgendem Dateipfad ".$_SERVER['DOCUMENT_ROOT'] ;?>

oder

PHP

<?php phpinfo(); ?>

Unter dem Punkt "_SERVER["DOCUMENT_ROOT"]" steht der komplette Server-Pfad (absolute Pfad) der abgelegten Datei.

Zuvor natürlich .htacces z.B. in htacces.tx umbennenen sonst kannst du die datei info.php ja nicht aufrufen weil der Login ja wohl fehlschlägt.

http://www.joomlaportal.de/joo…isschutz.html#post1624900

KaptnIglo · 16. Oktober 2016

Hallo Sieger,
vielen Dank für deine Hinweise....habs ausprobiert und ich bekomme, egal wo ich die info.php ablege den Ordner (z.B. Administrator..)nicht mit zurückgemeldet, sondern lediglich den 1. Ordner su-foto.de da endet das dann...auch wenn ich die info.php noch einen tiefer verschiebe ändert sich da nix!
Mein Webhoster ist Bitpalast

Ich habe in meiner .htaccess keinen Eintrag AuthUserFile....
Das ist der Inhalt meiner htaccess....

#
# @package Joomla
# @copyright Copyright (C) 2005 - 2016 Open Source Matters. All rights reserved.
# @license GNU General Public License version 2 or later; see LICENSE.txt
##

##
# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE!
#
# The line 'Options +FollowSymLinks' may cause problems with some server configurations.
# It is required for the use of mod_rewrite, but it may have already been set by your
# server administrator in a way that disallows changing it in this .htaccess file.
# If using it causes your site to produce an error, comment it out (add # to the
# beginning of the line), reload your site in your browser and test your sef urls. If
# they work, then it has been set by your server administrator and you do not need to
# set it here.
##

## No directory listings
IndexIgnore *

## Can be commented out if causes errors, see notes above.
Options +FollowSymlinks
Options -Indexes

## Mod_rewrite in use.

RewriteEngine On

## Begin - Rewrite rules to block out some common exploits.
# If you experience problems on your site then comment out the operations listed
# below by adding a # to the beginning of the line.
# This attempts to block the most common type of exploit `attempts` on Joomla!
#
# Block any script trying to base64_encode data within the URL.
RewriteCond %{QUERY_STRING} base64_encode[^(]*$[^)]*$ [OR]
# Block any script that includes a <script> tag in URL.
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block any script trying to set a PHP GLOBALS variable via URL.
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block any script trying to modify a _REQUEST variable via URL.
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule .* index.php [F]
#
## End - Rewrite rules to block out some common exploits.

## Begin - Custom redirects
#
# If you need to redirect some pages, or set a canonical non-www to
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
#
## End - Custom redirects

##
# Uncomment the following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root).
##

# RewriteBase /

## Begin - Joomla! core SEF Section.
#
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
#
# If the requested path and file is not /index.php and the request
# has not already been internally rewritten to the index.php script
RewriteCond %{REQUEST_URI} !^/index\.php
# and the requested path and file doesn't directly match a physical file
RewriteCond %{REQUEST_FILENAME} !-f
# and the requested path and file doesn't directly match a physical folder
RewriteCond %{REQUEST_FILENAME} !-d
# internally rewrite the request to the index.php script
RewriteRule .* index.php [L]
#
## End - Joomla! core SEF Section.

Sieger66 · 17. Oktober 2016

Und in welchem Dateiordner ist diese von dir mit Inhalt zitierte . htaccess ?

Beim Passwortschutz geht es ja um die .htaccess im Dateiordner /administrator

Bei Bitpalast.net steht doch in der Hilfe:

Lösung 1:

Spoiler anzeigen

Passwortgeschützte Verzeichnisse mit Plesk Kunden-Steuerzentrale einrichten:

SymptomSie möchten den Zugriff auf bestimmte Verzeichnisse Ihrer Website nur Nutzern mit Login ermöglichen.

Ursache

Sie können entweder einen Passwortschutz mit der Plesk
Kunden-Steuerzentrale einrichten oder einen .htaccess-Passwortschutz
einrichten. Dieser Artikel beschreibt, wie Sie mit der Plesk
Kunden-Steuerzentrale einen Passwortschutz einrichten.

Lösung

1. Loggen Sie sich in die Kunden-Steuerzentrale Ihres Hosts ein.

2. Klicken Sie auf den Tab "Website & Domains".

3. Klicken Sie in der aktiven Liste des Bitpalast® Business Boosters,
den Sie bearbeiten möchten, den Link "Mehr anzeigen". Falls die Icons
schon sichtbar sind, müssen Sie "Mehr anzeigen" nicht klicken.

4. Klicken Sie auf das Icon "Passwortgeschützte Verzeichnisse".

Sie sehen eine Liste aller bisher passwortgeschützten Verzeichnisse.
Dazu zählt die eingebaute Statistik, die im Verzeichnis "/plesk-stat"
eingerichtet wurde.

5. Um ein neues passwortgeschütztes Verzeichnis einzurichten, klicken Sie auf das Icon "Neues Verzeichnis hinzufügen".

6. Geben Sie einen Verzeichnisnamen eines neuen Verzeichnisses an,
das Sie mit einem Passwort schützen möchten. Beginnen Sie den
Verzeichnisnamen immer mit einem Schrägstrich "/". Tragen Sie dann einen
Titel ein, der in der Passwort-Abfrage für den Bereich gezeigt werden
soll. Das kann so etwas sein wie "Händlerbereich", "Preislisten" usw.

7. Klicken Sie auf den Schalter "OK", um den geschützten Bereich zu erstellen.

Standardmäßig wird das Verzeichnis so geschützt, dass Sie selbst mit
Ihren Steuerzentrale-Login-Daten darauf zugreifen können. Sie können
aber weitere Benutzer mit anderen Passwörtern den Zugang ermöglichen.
Nachdem das neue Verzeichnis hinzugefügt wurde, klicken Sie auf dessen
Namen in der Liste aller passwortgeschützten Verzeichnisse. Dadurch
gelangen Sie zur Benutzersteuerung für das Verzeichnis. Geben Sie danach
einen Benutzernamen und ein Passwort an, mit dem auf das geschützte
Verzeichnis zugegriffen werden darf. Klicken Sie dann auf den Schalter
"OK". Sie können beliebig viele weitere Nutzer hinzufügen, indem Sie den
Vorgang für weitere Benutzernamen wiederholen. Um einen Nutzer die
Zugriffsrechte zu entziehen, haken Sie den Nutzer in der Liste an und
klicken danach auf "Entfernen".

Lösung 2:

Spoiler anzeigen

Passwortgeschützte Verzeichnisse mit .htaccess-Datei einrichtenSymptomSie möchten den Zugriff auf bestimmte Verzeichnisse Ihrer Website nur Nutzern mit Login ermöglichen.

Ursache

Sie können entweder einen Passwortschutz mit der
.htaccess-Webserver-Steuerung oder mit der Plesk Kunden-Steuerzentrale
einrichten. Dieser Artikel beschreibt, wie Sie mit der
.htaccess-Webserver-Steuerung einen Passwortschutz einrichten.

Lösung

1.Sie brauchen zwei Dateien, eine ".htaccess"-Datei, die den Zugriff auf
das Verzeichnis steuert, und eine ".htpasswd"-Datei, die die Kombination
gültiger Loginnamen/Passwörter enthält. Erstellen Sie mit Hilfe eines
Texteditors zunächst die .htaccess-Datei mit folgendem Inhalt:

AuthUserFile /[Pfad/].htpasswd

AuthGroupFile /dev/null

AuthName "[Hinweis an Nutzer]"

AuthType Basic

require valid-user

</Limit>

Anstelle von [Pfad/] setzen Sie ein Verzeichnis Ihres Webspaces ein,
wo die Datei gespeichert werden soll, in der
Loginnamen/Passwort-Kombinationen hinterlegt sind. Sie können [Pfad/]
auch weglassen, dann wird die Datei im Home-Verzeichnis Ihres FTP-Logins
gespeichert. Eine .htpasswd-Datei sollte möglichst nicht in einem
Verzeichnis gespeichert werden, auf das der Webserver Zugriff hat, da
sie sonst möglicherweise über das Internet einsehbar wird.

Anstelle von "[Hinweis an Nutzer]" geben Sie einen Prompt ein oder
eine Beschreibung des geschützten Verzeichnisses, z.B. "Händlerbereich",
"Preislisten" oder ähnliches.

2. Laden Sie die .htaccess-Datei in das Verzeichnis hoch, dass zukünftig nur noch nach einem Login gezeigt werden soll.

3. Erstellen Sie die .htpasswd-Datei. In dieser Datei werden
Loginnamen/Passwort-Kombinationen gespeichert. Wenn Sie Zugriff auf eine
Linux-Shell haben, können Sie die Datei mit dem Linux-Befehl

htpasswd -c /[Pfad/].htpasswd [Loginname]

erstellen. Ansonsten sollten Sie eine der vielen kostenlosen
Online-Passwort-Generatoren verwenden, da das Passwort in der
.htpasswd-Datei nicht als Klartext-Passwort, sondern verschlüsselt
gespeichert werden muss. Eine typische .htpasswd-Datei für zwei User wie
"maxmueller" und "johndoe" könnte wie folgt aussehen:

maxmueller:$apr1$Q5SW6wj4$qvD3b8nBlfhdmDQLpU52/0

johndoe:$apr1$SsOahno9$ZgB3fM7U8joJwTFgLvzgd/

4. Laden Sie die .htpasswd-Datei dorthin hoch, wo sie sich laut .htaccess-Datei befinden soll ("/[Pfad/].htpasswd").

Sollte der Passwortschutz nun nicht funktionieren, stimmt vermutlich
der Pfad zur .htpasswd-Datei nicht, den Sie in der .htaccess-Datei
eingetragen haben.

KaptnIglo · 17. Oktober 2016

Hi,
danke - damit hat es jetzt funktioniert!
Tja..vielleicht erstmal auf der Seite des Webhoster umschauen ....

Gruß
KaptnIglo