unregelmäßiger download von php quellcode möglich

[mr_vista]

hallo,

folgendes problem. seit einigen tagen bekommen wir vereinzelt meldungen, dass wenn ein user eine bestimmte seite aufruft sie aufgefordert werden diese runterzuladen (z.b. gaestebuch.php, index.php) ...sobald der browsercache geleert ist, tritt das problem nicht mehr auf...

ich denke der php interpreter stürzt ab und zu mal ab und die user, die gerade zu diesem zeitpunkt versuchen eine seite zu öffnen bekommen dann die downloadaufforderung.

das ist natürlich nicht schön, da der quellcode der seite nicht öffentlich ist und es natürlich höchst bedenklich ist wenn der quellcode von verschiedenen seiten in die falschen hände gerät.

provisorisch habe ich die sicherheit verbessert indem ich die seiten, die aufgerufen werden, nur als container nutze und der eigentliche code via "include(seite1_code.php);" eingefügt wird. so sieht der, der eine php datei downloaden kann dann nur diesen einen befehl.

das kann natürlich keine dauerlösung sein, hat jemand eine idee, wie ich in der apache konfiguration festlegen kann, dass der download von php dateien unterbunden wird?

hatte jemand anderes das problem und konnte diese php interpreter probleme in den griff kriegen?

danke fürs lesen und eventuelle antworten.

lg

[os-t]

Hi,

es gab mal nen Bug, der dafür sorgte, dass der PHP-Interpreter nicht anspringt, wenn manche VHosts ihn deaktiviert haben und andere schon.
Trat damals bei mir unter Suse auf (Version weiß ich leider nicht mehr).
Als Workaround aktiviere einfach auf jedem VHost den PHP-Part und schon sollte das Problem weg sein (wobei sich ein Update des PHP auch empfiehlt, denn das Ding muss dann schon älter sein).

Gruß Markus

[mr_vista]

ich hatte in der tat, als ein anderes problem gelöst werden musste, zum test einen anderen vhost angelegt... da war php zwar aktiviert ich habe ihn jetzt dennoch mal gelöscht, da das problem vorher nicht vorhanden war. werde ich jetzt mal beobachten ob noch meldungen von php download aufforderungen kommen.

wäre es aber auch möglich dass so ein download just in diesem augenblick möglich ist indem apache neustartet und wenn das php modul noch nicht geladen ist?
diese vorkonfigurierten webserver (ich habe serveradmin24 drauf) haben es ja meistens an sich, dass der apache in bestimmten intervallen neugestartet wird (um einstellungen zu übernehmen etc.)

--
um die sicherheit zu verbessern ein kleiner tipp für leute die das gleiche problem haben: wie im eingangspost beschrieben die aufgerufenen dateien nur als container benutzen und die dateien mit dem code nur includieren. außerdem die dateien mit dem code in einem htaccess geschützten ordner speichern. über den browser kommt man so garnicht mehr an die dateien. php hat trotzdem keine probleme den quellcode zu lesen und auszuführen.
--

danke für die antwort ich werd hier wieder posten sollte das problem weiterhin bestehen.

[mr_vista]

hm also heute kamen erneut meldungen von download-aufforderungen. überwiegend betrifft es AOL user die den AOL browser benutzen, vereinzelt aber auch leute mit firefox oder internet explorer.

hat jemand nich eine idee? danke.

[Joe User]

Apache und mod_php up2date? MIME-Type richtig gesetzt?

[neodg]

Apache und mod_php up2date? MIME-Type richtig gesetzt?

Das selbe Problem habe ich auch, bis jetzt bin ich aber auch nicht dahinter gekommen.

Derzeit:
Apache 1.3.34-4
PHP: 4.4.4-1

[r. u. serious]

Wird nur eine Datei zum Download angeboten mit dem Namen? Oder habt ihr die angebotene Datei tatsächlich mal heruntergeladen, und mit einem Texteditor überprüft?

Ich kann mich nämlich erinnern, es schon erlebt zu haben dass manchmal eine Datei zum Download angeboten wird (mit einem entsprechenden Mimetype (application/x-httpd-php o.ä.), nur wenn man die Datei speichert/öffnet ist es nur eine leere Datei. Daher vermute (!) ich, dass nur manchmal (bei einem Fehler) der Mimetype an den Browser gesendet wird, nicht aber der tatsächliche Quelltext der Datei.

[lucki2]

A. Zu dem "cache leeren" :
1. Ein Fork der auf weitere Requests des Browsers warted. Nach dem Cache leeren des Browsers und neu laden bekommt der Browser einen neuen Fork der alte segnet das Zeitliche bzw es dauert einfach eine Weile bis der Fork weg ist und wenn dauernd neue Requests kommen.... Indianer sind manchmal zäh.
2. Und Ja, klar wenn was im cache ist ... Seiten sowieso ...

B. Erweitrungen zu Problemlösungen
1. os-t spricht wahr. Ich hatte das aber auch schon mit Apache2(kann aber sein, das daß nur meine Perchild Experimente waren ).
2. Die Mimetypes nicht nur checken, sondern auch, wo die überall sind(ich habe die auch schon in htaccess gefunden - doch, doch so was gibts!) [extends os-t].
3. Weiterleitungen und mod_rewrite checken.

C. Mr. Vistas Vorschlag sollte Standard sein und nicht provisorisch sondern immer und (vorallem Sicherheitsrelevante) includes immer an einer von Apache nicht zugänglichen Stelle(u.U. trickie mit mod_chroot ;) ) und die "Container" in html umbenennen.

das kann natürlich keine dauerlösung sein

bitte: Auf jeden Fall. Da sind u.U. Passwörter drin.

wäre es aber auch möglich dass so ein download just in diesem augenblick möglich ist indem apache neustartet und wenn das php modul noch nicht geladen ist?

ein ganz klares: Ja(wobei ich mit dem zweiten Teil des Satzes nicht sicher bin), der Verdacht sowas passiert bei apache reload: bingo.