Hallo allerseits,
bestimmt hat sichs rumgesprochen: Seit gestern gibts ein Sicherheitsproblem beim Apachen:
http://www.heise.de/security/meldung/Tool-bringt-Apache-Webserver-zum-Stillstand-1329986.html
Beängstigenderweise funktioniert das sogar gut, daher hab ich nun versucht, den unter
http://www.heise.de/security/news/foren/S-klick-klack-und-hier-gabs-nur-noch-lange-Gesichter/forum-207873/msg-20685653/read/ geschilderten Workaround umzusetzen, leider bisher erfolglos. Vielleicht kann mir ja mal jemand nen Tipp geben?
Was bisher geschah:
Standardinstallation Apache (apt-get install apache2 blah ... ) - ist angeifbar!
daher:
sudo a2enmod rewrite
und in der /etc/apache2/sites-available/default ergänzt:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 | <Directory /xxx/xxx/www/> # Options Indexes FollowSymLinks MultiViews AllowOverride all Order allow,deny allow from all <IfModule mod_rewrite.c> RewriteEngine On # test - macht aus index.html -> index.php # Rewrite regeln RewriteRule ^index.html$ index.php # gegen den apache-tot # RewriteCond %{REQUEST_METHOD} ^(HEAD|GET) [NC] RewriteCond %{HTTP:Range} ([0-9]*-[0-9]*)(\s*,\s*[0-9]*-[0-9]*)+ RewriteRule .* - [F] </IfModule> </Directory> |
dann noch /etc/init.d/apache2 force-reload
Ergebnis:
Umschreiben klappt nicht: wget bringt die index.html und keine index.php und mit dem Script kann man den Server immer noch ernsthaft beschädigen!.
Irgendwer ne Idee, was ich beim Einrichten von Rewrite noch vergessen hab?
Danke schon mal!