WebSVN – personal-webbase – /trunk/modules/core_sicherheit/crossover/admin_systemcheck/main.inc.php

<?php
if (!defined('WBLEGAL')) die('Kann nicht ohne Personal WebBase ausgeführt werden.');
$meldung = '';
// -------------------------------------
/*
if (!ini_get('safe_mode'))
$meldung .= '- PHP sollte mit Safe_Mode ausgeführt werden. ';
*/
// -------------------------------------
$ok = true;
if ($konfiguration['core_directftp']['ftp-verzeichnis'] != '/')
{
if ($konfiguration['core_directftp']['ftp-verzeichnis'] == '/html/')
{
// Handelt es sich um Confixx? Dann ist /html/ auch OK
if ($dir = @opendir('../'))
{
while ($file = @readdir($dir))
{
if (($file != 'atd') && ($file != 'log') && ($file != '.forward') && ($file != 'restore') && ($file != 'backup')
&& ($file != '.configs') && ($file != 'html') && ($file != 'files') && ($file != 'phptmp') && ($file != '.')
&& ($file != '..')) $ok = false;
}
@closedir($dir);
}
}
else
$ok = false;
}
if (!$ok) $meldung .= '- Personal WebBase besitzt möglicherweise keinen eigenen FTP-Account! ';
// -------------------------------------
$ok = true;
$path = '../';
if ($dir = @opendir($path))
{
// Bei Confixx liegen im Übergeordneten Verzeichnis die folgenden Dateien... die sind OK; andere nicht!
while ($file = @readdir($dir))
{
if (($file != 'atd') && ($file != 'log') && ($file != '.forward') && ($file != 'restore') && ($file != 'backup')
&& ($file != '.configs') && ($file != 'html') && ($file != 'files') && ($file != 'phptmp') && ($file != '.')
&& ($file != '..')) $ok = false;
}
@closedir($dir);
}
// Aber weiter darf man nicht zurück gehen!
while (true)
{
if (@readdir(@opendir($path))) $ok = false;
$realpath = @realpath($path);
if (($realpath == '/') || ((strlen($realpath) == 3) && (substr($realpath, 1, 2) == ':\\')) || (!$ok))
break;
else
$path .= '../';
}
if (!$ok) $meldung .= '- Personal WebBase kann bei der HTTP-Server-Ebene auf das übergeordnete Verzeichnis zugreifen! ';
// -------------------------------------
if ($mysql_zugangsdaten['username'] == 'root')
$meldung .= '- ACHTUNG! Personal WebBase verwendet den MySQL-Benutzer "root"! ';
$my_warnung = false;
$db_list = db_list_dbs();
while ($row = db_fetch($db_list))
{
if (($row['Database'] != 'information_schema') && ($row['Database'] != $mysql_zugangsdaten['datenbank']))
$my_warnung = true;
}
if ($my_warnung)
$meldung .= '- Personal WebBase kann möglicherweise auf andere MySQL-Datenbanken zugreifen! ';
$rx = db_list_tables($mysql_zugangsdaten['datenbank']);
$rx2 = db_query("SELECT * FROM `".$mysql_zugangsdaten['praefix']."module`");
if (db_num($rx) > db_num($rx2))
$meldung .= '- Es existieren fremde MySQL-Tabellen in der Personal WebBase-Datenbank, auf die Personal WebBase möglicherweise Zugriff hat! ';
// -------------------------------------
if (!$force_ssl)
{
$meldung .= '- SSL-Verbindungen werden nicht erzwungen (includes/config.inc.php: $force_ssl).   Wenn Sie über SSL verfügen, sollten Sie die Einstellung auf true bzw. 1 setzen. ';
}
// -------------------------------------
if ($meldung != '')
$meldung = 'Potentielle Sicherheitslücke(n) entdeckt! Lesen Sie das <a href="handbuch.pdf" target="_blank">Handbuch</a> zur Behebung der Sicherheitslücken. '.substr($meldung, 0, strlen($meldung)-strlen(' ')).'';
else
$meldung = 'Es wurden keine Sicherheitslücken gefunden.';
?>

Subversion Repositories personal-webbase

personal-webbase/trunk/modules/core_sicherheit/crossover/admin_systemcheck/main.inc.php – Rev 14