Joomla! Discussion Forums

This entire thread is a great help for both protecting against security threats for Joomla as well as your post josoroma in helping to spot attacks easily.  Thanks to everyone who had provided input, especially to RobS

Deleted by myself as I got the .htaccess file working from here.

Thanks for all your time writing this and it should keep the hackers out.

Thanks for the kind words

@random,

What turned out to be the problem if you don't mind me asking?  You mentioned in the other thread that you were encountering a 403 error, did you find out why?

Yeah I was trying to use it as a stand alone .htaccess, when I copied and pasted your code below what I had, it then worked.


Man I spent a lot of hours yesterday messing around with my Joomla app but it is perfect now,

Again thanks for the .htaccess code, BTW my server blocks me turning my globals off. This should not be a problem now?

cross posting so deleted by myself.

Ah yes, you need the default htaccess file because that first enables the rewrite engine, etc. which the rules I suggested depend on.

It isn't accurate to say that register globals are no longer a problem while using those rewrite rules.  I would say however that those rewrite rules are capable of blocking a large percentage of known attacks that depend on register globals.  The operative phrase being "known attacks".  But, such is the problem with any reactive defense mechanism.  It is very hard to write rules to block attacks that don't exist yet.  Do you know what I mean?  On a more positive note, I have found them to be useful as they did block, for example, the recent OpenSEF issue when I first tried to test the bug on my system.  Fortunately that hasn't made its way to an exploit because we were able to get in touch with the developers and get the issue resolved quickly.  But if it had, those using that ruleset wouldn't have lost much sleep.

As I sit here with my eyes half wide open.  I think I can deal with the lesser of two evils, I have heard that if globals are turned off it can add problems.


I can just add a php.ini to my server to overwrite but I am comfortable with how my host sees fit to have it set up.

Here is what they sent

We run phpsuexec on our server and it doesn't allow using of 'php_admin_flag' and 'php_admin_value' in .htaccess files.

If you want to modify php configuration for your site please upload php.ini to your home directory and set the variables inside of it.

Ah yes, phpsuexec can only be used via the CGI interface and you cannot override PHP config variables with an .htaccess file if you are using the CGI interface.  Adding a php.ini file to your directory might be a good idea as register globals is rather unnecessary now-a-days and in fact is being removed from PHP... eventually.

Oh how I miss Apache perchild but I shouldn't get started on that.

Robs,

I have uploaded the php.ini file to my server, it does not switch the globals off though, I put it in the root and also in public_html.

I am guessing that I may need to remove your .htaccess code to switch globals off and then add back your code....?


TIA

My .htaccess code should have nothing to do with that.  What are the contents of your php.ini file?  (If it is really long do not paste it here, put it on a site like pastebin.com and then put the link here.)

Hello All,

I have a questiona bout applying the rewrite rules on my server. I was told that it was better to put my htaccess rules in the apache conf file for each individual site since it is not loaded each time the site is accessed. Also I find this easier for me to do organizational wise. I am not an apache guru:) My joomla site is accessed through an alias ie: http://mysite.com/somedirectory actually pulls from a different folder than the mysite.com root folder.  If in my conf file I put the directives like below will it only affect the aiased directory? The way apache is setup is to have one conf for the whole server and individual conf files for each site.

Also is there a way to test that the directives are working? Like a malformed URL to try?


               
               
                        RewriteEngine On
                        RewriteBase /intranet2
                       
                        ########## Begin - Joomla! core SEF Section
                        ############# Use this section if using ONLY Joomla! core SEF
                        ## ALL (RewriteCond) lines in this section are only required if you actually
                        ## have directories named 'content' or 'component' on your server
                        ## If you do not have directories with these names, comment them out.
                        #
                        RewriteCond %{REQUEST_FILENAME} !-f
                        RewriteCond %{REQUEST_FILENAME} !-d
                        #RewriteCond %{REQUEST_URI} ^(/component/option,com) [NC,OR]            ##optional - see notes##
                        RewriteCond %{REQUEST_URI} (/|\.htm|\.php|\.html|/[^.]*)$  [NC]
                        RewriteRule ^(content/|component/) index.php
                        #
                        ########## End - Joomla! core SEF Section
                       
                        ########## Begin - Rewrite rules to block out some common exploits
                        #                             
                        # Block out any script trying to set a mosConfig value through the URL
                        RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
                        # Block out any script trying to base64_encode crap to send via URL
                        RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
                        # Block out any script that includes a

Board index » Joomla! Older Version Support » Joomla! 1.0 » Security - 1.0.x

Who is online

Users browsing this forum: egrys and 19 guests

You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot post attachments in this forum

Jump to:  Select a forum ------------------ Joomla! Announcements    Announcements       Announcements Discussions Joomla! 1.5 - Ask Support Questions Here    General Questions/New to Joomla    Installation       Joomla! on IIS webserver    Administration    Migrating and Upgrading    Security    Extensions       Components       Modules       Plugins       WYSIWYG Editors    Templates       Template overrides       Default template: BEEZ       Default template: Milky Way       Default Template: JA Purity    Search Engine Optimization (Joomla! SEO)    Language    Performance Joomla! Older Version Support    Joomla! 1.0       Installation - 1.0.x       Upgrading - 1.0.x       Security - 1.0.x          3rd Party/Non Joomla! Security Issues       Administration - 1.0.x       Extensions - 1.0.x          Components          Modules          Plugins/Mambots          WYSIWYG Editors - 1.0.x          Integration & Bridges - 1.0.x             phpbb - Joomla! Integration       Templates & CSS - 1.0.x       Language - 1.0.x          Joom!Fish and Multilingual Sites       Performance - 1.0.x       General Questions - 1.0.x Joomla! International Language Support    International Zone       Albanian Forum       Arabic Forum          تنبيهات هامة          الدروس          1.5 جملة             الأسئلة الشائعة             التثبيت و الترقية             الحماية - و تحسين السرعة والأداء             لوحة التحكم             الإضافات البرمجية             تعريب جملة! و الإضافات البرمجية             القوالب و التصميم             صداقة محركات البحث             القسم العام          جملة 1.0             الأسئلة الشائـعة             التثبيت             لوحة التحكم             الإضافات البرمجية             الإضافات المعرّبة             القوالب و التصميم             الحماية - تحسين السرعة والأداء - صداقة محركات البحث             القسم العام          القسم العام          عرض موقعك بجملة          الأرشيف       Azeri Forum       Basque Forum          Itzulpenaren inguruan          Laguntza teknikoa       Bengali Forum       Bosnian Forum          Joomla! 1.5             Instalacija i prvi koraci             Ekstenzije             Templejti             Moduli             Prevodi i dokumentacija       Catalan Forum          Notícies          Temes sobre l'administració          Temes sobre la traducció          Components, mòduls i joombots          Temes de disseny          Webs realitzades amb Joomla!          Offtopics       Chinese Forum       Croatian Forum       Danish Forum          Meddelelser          FAQ - Dokumentation og vejledninger          Diskussion af Meddelelser + Sikkerhedsmeddelelser + FAQ          Joomla! 1.0             Installation, backup, opdatering og flytning - Godt igang             Administration - Generel brug             Komponenter, Moduler og Mambots             Template, CSS og Design             Nethandel, betaling m.m.          Joomla! 1.5             Installation, backup, opdatering og flytning - Godt igang             Administration - Generel brug             Komponenter, Moduler og Plugins             Template, CSS og Design             Nethandel, betaling m.m.          Oversættelser (lokalisering)          SEO          Vis dit websted             Afviste 'Vis dit websted' indlæg          Kommerciel hjælp ønskes          Diverse (Off topic)       Dutch Forum          Aankondigingen          Algemene vragen          Joomla! 1.0             Installatie 1.0.x             Componenten 1.0.x             Modules 1.0.x             Mambots 1.0.x             Templates 1.0.x          Joomla! 1.5             Installatie             Componenten             Modules             Plugins             Templates          Vertalingen          Offtopic          Show jouw website       Filipino Forum          International Support Center          Pinoy General Discussion & Archives             Site Showcase             Events             Design Tips and Tricks             Tsismis Zone             Pinoy Translation Zone             Pinoy Forum Archives          Joomla! Philippines Local Forum www.joomla.org.ph       Finnish Forum       French Forum          Les annonces!          Le bistrot!          L'expo!          J! 1.5.x - L'atelier!             1.5 - Questions générales             1.5 - Installation, migration et mise à jour             1.5 - Sécurité et performances             1.5 - Extensions tierce partie             1.5 - Templates et design             1.5 - Développement             1.5 - Ressources          J! 1.0.x - L'atelier!             1.0 - Questions générales             1.0 - Installation et mise à jour             1.0 - Sécurité             1.0 - Extensions tierce partie             1.0 - Templates et design             1.0 - Développement             1.0 - Ressources          Besoin d'un professionel ?          Extensions Open Source pour Joomla!       German Forum          Ankündigungen          Joomla! 1.5             Allgemeine Fragen             Installation und erste Schritte             Komponenten, Module, Plugins             Template, CSS und Designfragen             Entwicklerforum             Zeige Deine Webseite          Joomla! 1.0             Allgemeine Fragen 1.0.x             Installation und erste Schritte 1.0.x             Komponenten, Module, Mambots 1.0.x             Template, CSS und Designfragen 1.0.x             Entwicklerforum 1.0.x             Zeige Deine Webseite 1.0.x          Professioneller Service          Sonstiges (Offtopic)       Greek Forum          Joomla! 1.0.x          Joomla! 1.5.x       Hebrew Forum       Hungarian Forum       Indic Languages Forum       Indonesian Forum          FAQ          Bantuan          Komponen          Modul          Template          Diskusi       Italian Forum          Guide          Traduzioni          Componenti - Moduli - mambots          Template - Grafica          Notizie          Prodotti Open Source per Joomla!          Richieste professionali          Joomla! 1.5       Japanese Forum       Khmer Forum       Latvian Forum       Lithuanian Forum          Joomla! 1.5          Joomla! 1.0          Vertimai ir Kalba       Malaysian Forum          Solved       Maltese Forum       Norwegian Forum          Informasjon og annonseringer          FAQ - Ofte spurte spørsmål          Joomla! 1.0             Administrasjon/installasjon             Template, CSS og design             Komponenter/moduler/mambots             Sikkerhet             Generelt          Joomla! 1.5             Administrasjon/installasjon             Migrering/Oppdatering             Template, CSS og design             Komponenter/moduler/programutvidelser             Sikkerhet             Generelt          Netthandel, betaling m.m.             VirtueMart             Andre nettbutikkløsninger             Generelt          Fremvisning av sider (Show off)             Avviste fremvisninger          Oversettelser          Diverse (off topic)          Kommersiell hjelp ønskes       Persian Forum          قالب ها          مدیریت          سوالهای عمومی          نصب          مامبوت ها          ماژولها          کامپوننت ها       Polish Forum          Instalacja i upgrade          Administracja          Komponenty, moduły, boty          Templatki             Paczta i Podziwiajta          Modyfikacje i własne rozwiązania          Tłumaczenia          FAQ          Tips&Tricks          Humor          Dokumentacja          Profesjonalne usługi       Portuguese Forum          Componentes, módulos e mambots          Programação e desenvolvimento          Segurança          Sites dos usuários          Off-topic          Tradução          Templates       Romanian Forum          Traduceri       Russian Forum       Serbian/Montenegrin Forum          Tehnička pitanja          Instalacija i početnička pitanja          Šabloni          Prevod i dokumentacija          Ćaskanje          Bezbednost          Joomla! dodaci          Arhiva          Joomla! Događaji i Zajednica       Slovak Forum       Slovenian Forum       Spanish Forum          Ayuda Newbie          Administración          Componentes, Modulos y Mambots          Instalación          Templates          Traducciones          Tutoriales          Temas no tecnicos y humor          Productos Codigo Abierto para Joomla          Papelera          General          Seguridad       Swedish Forum          Meddelanden          Forum Joomla! 1.0             Allmänna frågor             Användning och administration             Installation, backup och säkerhet             Komponenter, moduler och Mambots             Mallar (templates) och design          Forum Joomla! 1.5             Allmänna frågor             Användning och administration             Installation, backup och säkerhet             Komponenter, moduler och plugin             Mallar (templates) och design          Översättning          Webbplatser gjorda i Joomla             Webbplatser J! 1.0             Webbplatser J! 1.5          Kommersiell hjälp önskas          Diverse (off topic)       Tamil Forum       Thai Forum          โชว์เว็บไซต์ของคุณที่สร้างด้วยจูมล่า          เคล็ดลับการใช้งานส่วนต่างๆ เกี่ยวกับจ&#          คอมโพเน้นท์ โมดูล ปลักอิน ต่างๆ ที่ติดตั          อับเดดข่าวสารเกี่ยวกับจูมล่าลายไทย       Turkish Forum          Duyurular          Dersler          Genel Sorular          Bileşen, Modül, Bot          Eklenti Haberleri          Temalar          Joomla! 1.5       Urdu Forum       Vietnamese Forum          Gặp gỡ và giao lưu          Joomla Tiếng Việt          Cài đặt và cấu hình          Component, Module, Bot          Thiết kế Template          Hỗ trợ kỹ thuật          Joomla! 1.5       Welsh Forum Other Forums    Open Source Products for Joomla!    Joomla! Events    Site Showcase       1.5 Site Showcase       1.0 x Site Showcase    The Lounge       Archived Boards - All boards closed          Design and Accessibility - Archived          Quality and Testing - Locked and Archived             Joomla! 1.0.x_Q&T                Q&T 1.0.x Resolved                Known Issues                Superseded Issues                Archive                   Q&T 1.0.x Resolved - Archived                   Known Issues - Archive                   Superseded Issues - Archive             Third Party Testing for Joomla! 1.5             Q&T 1.5.x Resolved          Joomla! 1.5 BETA          Joomla! 1.5 BETA 2          Reaction to the 'Letter to the community'          Reaction to New Project Name          Logo Competition          Humor, Fun and Games          Libraries             patTemplate          com_connector - Multi Joomla Bridge          CiviCRM Support             CiviCRM Installation Issues          FAQ Archive             FAQ Discussion Board             3rd Party Extensions FAQ             FAQs not moved             3rd Party/Non Joomla! Security FAQ          Joomla! Coding 101             Joombie Tools of the Trade             Joombie Coding Q/A             Joombie Think Tank             Joombie Developer Lab          Joomla Forge - Archived          Non-Profit Organizations and Joomla!             Schools and Universities          Bangsamoro Forum          Joomla! 1.5 Template Contest          SMF - Simplemachines.org Forum          GPL Discussion          Security Announcements - Old          Tips & Tricks - Moving             Submit Your Suggested Tips & Tricks to Docs.joomla.org now please.          Google Summer of Code and GHOP             Google Summer of Code 2008                Proposed projects                Student area                Past Google Summer of Code Editions             Google's Highly Open Participation Contest          Documentation             Suggestions, Modifications, and Corrections             Archive             1.5 Archive                Suggestions, Modifications & Corrections             Submit             Feedback and Suggestions    Registered Joomla! User Groups Joomla! Development    Joomla! 1.5 Coding    Joomla! 1.0 Coding    Joomla! Bug Reporting    Feature Requests - White Papers       Under Review       Accepted       Not Accepted       Wishlists and Feature Requests - Archive          Wishlist Archives    Custom Joomla! Development       Core Hacks and Patches Joomla! Official Sites & Infrastructure    Extensions.Joomla.org - Feedback/Information    Resources.joomla.org - Feedback/Information    Documentation - Feedback/Information/Suggestions    Sites & Infrastructure - Feedback/Information       Shop.Joomla.org       JoomlaCode.org    Joomla! Working Groups       Translations       Development          Applications for participation in the Development Workgroup       OpenSourceMatters.org