Bei der Installation kommt nach Schritt 6 ein 403 Error

[wilderpel]

Hi,
bin neu hier und mir gefällt CMSms ganz gut, soweit ich das anhand einer Demo-Version sehen konnte. Ich habe Kenntnisse in Xhtml und CSS, ein bisschen in PHP, außerdem designe ich gerne.

Jetzt aber zu meinem Problem:
Nachdem ich alle Dateien per Filezilla in einen Ordner auf meinem Webspace geladen habe, konnte ich problemmlos die Installation von CMSms 1.5.1 beginnen, aber als ich bei Schritt 6 auf Weiter klickte kam plötzlich ein 403-Error. In der Fehlersuche wird mir gesagt, ich solle eine bestimmte Zeile in meine .htaccess-Datei einfügen. Ich wies aber nicht, welche .htaccess-Datei gemeint ist. Eine, die mitgeliefert wurde? Oder die,  die ich schon vorher auf meinem Webspace hatte? Ich habe mich für die 2. Version entschieden, da ich auf die shcnelle keine mitgelieferte .htaccess-Datei fand. Nachdem ich also folgendes in meine .htaccess-Datei eingefügt hatte, kam nur noch ein 500-Error, hier die Zeile für .htaccess:

Code: Select all

SecFilterEngine Off

Die Error-Logs sagen mir zu diesem 500-Error:

Code: Select all

[Sat Jan 10 15:30:44 2009] [alert] [client 92.74.176.45] /var/www/web282/html/primewebdesign.de.tld/cmsms/.htaccess: Invalid command 'SecFilterEngine', perhaps misspelled or defined by a module not included in the server configuration, referer: http://primewebdesign.de/cmsms/install/index.php

was mich jetzt aber nciht sonderlich weiterbringt.
Also habe ich die Zeile wiedr gelöscht und bin jetzt wieder bei meinem 403-Error
Der Eintrag im Error-Log dazu:

Code: Select all

[Sat Jan 10 15:33:44 2009] [error] [client 92.74.176.45] ModSecurity: Access denied with code 403 (phase 2). Pattern match "(?:ogg|gopher|zlib|(?:ht|f)tps?)\\:/" at ARGS:docroot. [file "/etc/apache2/modsec2/10_asl_rules.conf"] [line "908"] [id "340162"] [rev "70"] [msg "Remote File Injection attempt in ARGS (AE)"] [severity "CRITICAL"] [hostname "primewebdesign.de"] [uri "/cmsms/install/index.php"] [unique_id "wrmIKk4vhpkAAAytMTAAAAFH"]

Weis jemand, was ich tun könnte? Und warum ist der Fehler erst nach Schritt 6 aufgetaucht?

Wäre euch um hilfreiche Antworten sehr dankbar

[antibart]

Welche .htaccess gemeint ist, hängt davon ab, wo sie liegt. In diesem Fall muss sich eine .htaccess-Datei im Root-Ordner des CMS befinden.  Diese .htaccess-Datei musst Du erstellen, da sie standardmäßig nicht mit installiert wird. Wenn sich die vom Provider mitgelieferte woanders befindet (und davon gehe ich aus), wird es nicht klappen.

Verusuch einfach nochmal, eine .htaccess für den CMS-Ordner zu erstellen und kopier die besagte Zeile dort hinein. Du brauchst später für Pretty-URL sowieso eine.

[wilderpel]

Ok, werd's versuchen. Vielen Dank schonmal.


PS: jetzt kommt wieder ein 500-Error

[mike-r]

Sicher, dass Du eine leere htaccess im Root des CMS versucht hast?
die htaccess mit den secfilter-eintrag sollte imho in den root des servers (html wohl)

Edit:
Interessant wäre noch zu wissen, was in "/etc/apache2/modsec2/10_asl_rules.conf" drinsteht.
http://z.askapache.com/modsec/10_asl_rules.conf macht mich nicht wirklich schlauer...
/Edit

Haupt"problem" hier bei Dir liegt nicht direkt am CMSMS, sondern am Provider, der wohl eine Sicherheitssoftware installiert hat, die sich mit CMSMS nicht verträgt. Schau mal in den Docs des Providers, ob und wie man das deaktivieren kann, das Secfilter allein wird wohl nicht reichen. 

[antibart]

PS: jetzt kommt wieder ein 500-Error

Bevor es durcheinandergerät, setz alles zurück. Die alte .htaccess OHNE diese Zeile dorthin zurück, wo sie ursprünglich war. Dann eine eine neu zunächst LEERE erstellen, dort die oben genannte Zeile einfügen und in den CMS-Root-Ordner schieben.

Aufpassen, dass die Datei auch wirklich .htaccess heisst (also mit PUNKT davor und nichts dahinter) ... in manchen Texteditoren geht das nicht.

Überprüfen, ob die .htaccess nach dem Übertragen ins CSS-Root auch wirklich vorhanden ist. Bei einer T-online-Installation hab ich auch schon erlebt, dass der Provider überhaupt keine eigenen .htaccess-Dateien zulässt und sie automatisch gelöscht werden.

Wenn es dann immer noch nicht geht: siehe Post von mike-r.

[mike-r]

Bei einer T-online-Installation hab ich auch schon erlebt, dass der Provider überhaupt keine eigenen .htaccess-Dateien zulässt und sie automatisch gelöscht werden.

das liegt nicht direkt am Provider, sondern am Server (IIS/Windows), der löscht die Dateien nicht, sondern erstellt sie erst gar nicht. 

[wilderpel]

Habe jetzt nochmal ganz genau eine richtige .htaccess-Datei erstellt, aber es kommt wieder der Fehler. Es ist bei mir so, dass der CMSMS nicht im Root-Ordner ist, sondern in einem Extra-Ordner. Ist das ein Problem?

Habe jetzt schonmal bei meinem Hoster gefragt, wie das mit dem Befehl in der .htaccess ist, habe aber bis jetzt noch keine Antwort bekommen.

[mike-r]

Es ist bei mir so, dass der CMSMS nicht im Root-Ordner ist, sondern in einem Extra-Ordner. Ist das ein Problem?

Halte ich für ausgeschlossen, dass das Probleme macht. Testweise versuchen, das in den root zu packen solltest Du trotzdem.

[antibart]

das liegt nicht direkt am Provider, sondern am Server (IIS/Windows), der löscht die Dateien nicht, sondern erstellt sie erst gar nicht. 

Ja - aber der Provider wählt den Server

Es ist bei mir so, dass der CMSMS nicht im Root-Ordner ist, sondern in einem Extra-Ordner. Ist das ein Problem?

Nein. Ich hab es zumindest noch nie als Problem erlebt und entwickle Seiten fast immer in einem Unterverzeichnis. Wichtig ist lediglich, dass sich die betreffende .htaccess in diesem Ordner befindet.

[wilderpel]

Mein Provider sagt mir:

in einer htaccess Datei dürfen diese Anweisungen nicht stehen. Nach
entsprechender Entfernung sollten Sie keinen 500 er Fehler mehr angezeigt
bekommen.

Wenn Sie mod_security konfiguriert haben möchten, senden Sie bitte den
entsprechenden Auszug aus dem error_log zu, daß wir störende Regeln
deaktivieren können.

Warum darf dass denn in der htaccess nicht stehen, wenn's hier empfohlen wird? Und der Auszug aus dem Error log ist doch das, was ich schon in meinem ersten Beitrag geschrieben hab, oder?

[antibart]

Warum darf dass denn in der htaccess nicht stehen, wenn's hier empfohlen wird? Und der Auszug aus dem Error log ist doch das, was ich schon in meinem ersten Beitrag geschrieben hab, oder?

Weil Dein Provider das aus Sicherheitsgründen nicht möchte.

Du kannst mal das probieren (aber ohne Garantie):

Code: Select all

<IfModule mod_security.c>
  SetEnvIfNoCase Content-Type "^multipart/form-data;" "MODSEC_NOPOSTBUFFERING=Do not buffer file uploads"
</IfModule>

[wilderpel]

Vielen Dank. Der Provider hat jetzt gesagt, er würde "störende Regeln jetzt deaktivieren", wenn cih ihm die error_log schicke. Wenn das nicht klappt, werde ich deinen Vorschlag ausprobieren.

[cyberman]

Habe jetzt nochmal ganz genau eine richtige .htaccess-Datei erstellt, aber es kommt wieder der Fehler. Es ist bei mir so, dass der CMSMS nicht im Root-Ordner ist, sondern in einem Extra-Ordner. Ist das ein Problem?

Der Vollständigkeit halber - grundsätzlich wird für die Installation von CMSms KEINE separate htaccess benötigt.

[wilderpel]

So, nochmal vielen, vielen Dank für die tolle Hilfe. Das Problem hat sich jetzt gelöst, nachdem mein Provider mod_security angepasst hat. Freue mich schon rießig auf CMSms!!!