Opgelost: Afbeeldingsbeheer niet toegankelijk

[npwal]

Goeiedag!
allereerst proficiat met de nieuwe versies van CMSMS, goed werk van het ganse team, heel professioneel!
Ik heb sinds een tijdje een probleem, ik kan namelijk het afbeeldingsbeheer niet meer gebruiken. Het is eigenlijk begonnen toen ik een aantal instellingen, met onder andere aangepaste bestandsrechten voor meer beveiliging tegen hackers ingevoerd heb. Ik had zo een aantal instellingen ergens op de site van cmsms gevonden. Van toen af krijg ik volgende melding als ik afbeeldingsbeheer aanklik:
You don't have permission to access /lib/filemanager/ImageManager/images.php?sp_=0c6d028c&dir= on this server.
Ik heb al geprobeerd door enkele instellingen terug te zetten, maar dat helpt me niet echt verder. Kan iemand me zeggen wat er precies scheelt of wat ik moet aanpassen?
In elk geval van harte bedankt!
Veerle

[Rolf]

Hallo npwal,

Heb je aan de servermappen een .htaccess bestand toegevoegd? Of regels aan een bestaande?
Zo ja welke? en waar?

Welke informatie heb je gebruikt om de beveiliging toe te passen?

grt. Rolf

[npwal]

Dag Rolf,
Ik heb enkele instellingen van deze pagina (maar dan de versie van vorig voorjaar, in mei, indien die aangepast zou zijn) gebruikt: http://wiki.cmsmadesimple.org/index.php/How_to, het gedeelte met als titeltje cmsms settings. Ik gebruik geen .htaccess. (riskeerde dit niet omdat ik niet goed weet wat ik daarmee kon aanrichten). Als je wil kan ik wel eens de rechten van alle mappen enz doorgeven.
mvg
Veerle

[Rolf]

Als je de naam van de standaard admin folder hebt aangepast, dan moet je niet vergeten die ook in de config.php aan te passen. Anders werkt het inderdaad niet

Code: Select all

#Name of the admin directory
$config['admin_dir'] = 'admin';

Toch zou ik deze beveiliging optie niet aan bevelen, je moet nml. tijdens het upgraden van het CMS de mapnaam weer terug zetten naar "admin" anders gaat het fout...

CMS Made Simple is verder technisch een sterk pakket. Er zijn gelukkig weinig hack gevallen bekend. De laatst bekende was ergens in versie 1.4 geloof ik...

Dit is wel een leuke toevoeging tegen brute force attacks:
http://dev.cmsmadesimple.org/projects/iplock

De kans van een ftp hack groter dan dat de code van het cms worden gekraakt...

grt. Rolf

[npwal]

Dag Rolf,
ik heb de naam van de admin folder niet aangepast. Ik herinner me wel de bestandsrechten aangepast te hebben van verschillende folders.
En blijkbaar zit er ook een htaccess bestand in de imagefolder met dit als inhoud:
# To deny PHPs
<Files ~ "\.(php|php3|php4|php5|phtml|pl|cgi)$">

ik herinner me wel niet dat er ingestoken te hebben (t is ook al een bijna een jaar geleden), kan dit de fout veroorzaken?
mvg
Veerle

[Rolf]

De 'standaard' rechten zijn voor netwerkmappen 755 en bestanden 644.
Bij sommige webhost zullen deze verhoogd moeten worden naar 777
De config.php moet na het wijzigen op 444 worden gezet.

Als je twijfelt of een .htaccess bestand het probleem is, dan zou je deze tijdelijk kunnen hernoemen naar htaccess.txt

grt. Rolf

[npwal]

ik heb de bestandsrechten nagezien: folders hebben 755, PHP bestanden 600 en andere bestanden 644. htaccess hernoemen naar .txt maakt geen verschil voor de foutmelding.
Ik heb ook even gekeken in het PHP bestand dat de foutmelding geeft, nl lib/Filemanager/imagemanager/images.php, daarin wordt vooreerst nagezien of de login rechten heeft om bestanden aan te passen: "modify files". Ik log steeds aan als administrator en die heeft wel degelijk die rechten. Wat ik nu wel zag (ik had het niet eerder opgemerkt) dat ik wel een bestand kan opladen, die optie verschijnt onder de foutmelding. Maar blijkbaar heb ik geen toegang tot de folders en beelden.
Wat kan er nog nagezien worden?
mvg
Veerle

[Rolf]

ik heb de bestandsrechten nagezien: folders hebben 755, PHP bestanden 600 en andere bestanden 644.

PHP bestanden moeten ook 644 hebben, anders kan deze niet worden uitgevoerd.

grt. Rolf