wg. PIWIK

[DSF]

Bereits beim vB3-Forum hatte ich PIWIK installiert.
Irgendwann hatte ich mir mal die Serverprotokolle angeschaut und mit Entsetzen festgestellt was für "Attacken" auf PIWIK "geritten" wurden.
Die Dateistruktur sowie der Path ist ja quasi öffentlich bekannt.

Vor lauter Panik hatte ich damals PIWIK wieder entfernt. Es klingt blöd, aber mir war nicht wohl dabei.
Das ist jetzt über 2 Jahre her und ich möchte einen neuen Anlauf wagen und hoffe auf den einen oder anderen Tipp.
Die Installation und Integration in xF auf meinem Testforum war wie erwartet problemlos.

So, jetzt plagen mich noch 2 Dinge:

1.
Zum normalen Trackingbetrieb bedarf es eigentlich nur 2 Dateien. piwik.php und piwik.js
xF befindet sich in http://www.DOMAIN/forum
PIWIK befindet sich in http://www.DOMAIN/piwik
Hilfe, ich bekomme eine .htaccess für /piwik nicht auf die Reihe.
Es sollte/muss folgende Logik haben:

Erlaube NUR den Zugriff auf piwik.php und piwik.jk im Verzeichnis /piwik für jedermann
und
auf alle anderen Dateien NUR mit der IP xx.xx.xx.xx

2.
Ist es besser PIWIK aus Performencegründen unter der gleichen Domain wie das Forum zu installieren
oder
auf eine andere Domain auf dem gleichen Server?

Danke und beste Grüsse

 

[Haddawas]

Edit: generell ist es besser so wenig Domains wie möglich zu verwenden, da für jeden Eintrag der DNS gecheckt werden muss
wenn man aber gewisse Inhalte eh ausgelagert hat spricht wohl auch nichts dagegen
bei einem System wie vBseo würde ich hingegen dazu raten entweder in der root-.htaccess eine Ausnahme zu definieren oder wirklich eine andere Adresse zu nutzen (da womöglich vbseo unnötig geladen wird und den ganzen Zauber incl. Datenbank startet)
per apache-config muss das /piwik Verzeichnis ja auch nicht wirklich im Forum liegen auch wenn die Adresse dies suggeriert
/edit

wenn die .htaccess im piwik Verzeichnis liegt

<Files "*.php">
Order Deny,Allow
Deny from All
Allow from 127.0.0.1
</Files>
<Files "piwik.php">
Order Allow,Deny
Allow from All
</Files>

die IP gegen deine austauschen

eine weitere Range geht in dem man die letzten Stellen weg lässt, also "Allow from 127.0"
ne recht umfangreiche Beispielsammlung findet man auch da, ich denke jedoch php-files reichen

wie sahen die Attacken denn aus?

 

[DSF]

...eine weitere Range geht in dem man die letzten Stellen weg lässt, also "Allow from 127.0" ...

Ich habe eine fixe IP.

... da für jeden Eintrag der DNS gecheckt werden muss ...

Ich neige auch dazu PIWIK unter der gleichen Domain wie das Forum laufen zu lassen.

...wie sahen die Attacken denn aus?

Bei nahezu jeder Datei wurde versucht mit angehängten Parametern sich Zugang zu verschaffen.
Dieses, da ja die Struktur bekannt ist, vollkommen zielgerichtet.
Beim Admin-Zugang hatte ich das Gefühl das dort die ganze Rainbowtable ausprobiert wurde.
Wie schon gesagt, mir war nicht wohl dabei.

Die beiden .htaccess-Teile oben werde ich mal ausprobieren.
Aber wo bleibt die erlaubte piwik.js ? Diese muss doch erlaubt bleiben.

 

[Haddawas]

.js ist garnicht verboten (nur .php), hab ich ja geschrieben, ich sehe den Sinn nicht statische Dateien zu verbieten, da diese vom Server nicht interpretiert werden und wenn du nicht irgendeine seltsame rule mit Modrewrite benutzt was unwahrscheinlich wäre, oder den Server konfiguriert hast .js als PHP auszuführen, ist das nur Ressourcenverschwendung

wenn du drauf bestehst sollte es damit klappen

<Files "*.*">
Order Deny,Allow
Deny from All
Allow from 127.0.0.1
</Files>
<Files "piwik.(php|js)">
Order Allow,Deny
Allow from All
</Files>

das Problem sehe ich eher darin, dass piwik.php überhaupt aufgerufen wird (wenn eine Sicherheitslücke besteht könnte das schon als einfallstor dienen)
ggf. könnte man auch eine art Hotlinkschutz für die piwik.php nutzen, damit nur Anfragen die auch mit dem Referrer der Boards kommen auf die Datei zugreifen darf - aber das ist eben wieder fehlerträchtig und eine Mehrbelastung