phpmyadmin kein login mehr möglich

[Mythos]

Hallo @all,

Bekomme seit heute Fehlermeldungen wenn ich versuche mich per phpmyadmin einzuloggen:

Internal Server Error

The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator, [no address given] and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log.
Apache/2.2.3 (Debian) PHP/5.2.3-0.dotdeb.1 with Suhosin-Patch Server at uhwebxxxxx.united-hoster.com Port 80

und das steht im error log:

[Tue Sep 11 23:57:39 2007] [alert] [client 78.49.174.xxx] /var/www/phpmyadmin/.htaccess: Options not allowed here, referer: http://uhwebxxxxxx.united-hoster.com/user/web1/db_mysql.php?head_id=mysql&head_text=MySQL&help_head_key=&help_text_key=&menu_node_id=menu_node_setup_mysql&main_menu_page=db_mysql.php
[Wed Sep 12 00:03:04 2007] [alert] [client 78.49.174.xxx] /var/www/phpmyadmin/.htaccess: Options not allowed here, referer: http://uhwebxxxxx.united-hoster.com/user/web1/db_mysql.php?head_id=mysql&head_text=MySQL&help_head_key=&help_text_key=&menu_node_id=menu_node_setup_mysql&main_menu_page=db_mysql.php
[Wed Sep 12 00:05:53 2007] [alert] [client 78.49.174.xxx] /var/www/phpmyadmin/.htaccess: Options not allowed here, referer: http://uhwebxxxxx.united-hoster.com/user/web1/db_mysql.php?head_id=mysql&head_text=MySQL&help_head_key=&help_text_key=&menu_node_id=menu_node_setup_mysql&main_menu_page=db_mysql.php
[Wed Sep 12 00:10:49 2007] [alert] [client 78.49.174.xxx] /var/www/phpmyadmin/.htaccess: Options not allowed here, referer: http://uhwebxxxx.united-hoster.com/user/web1/db_mysql.php?head_id=mysql&head_text=MySQL&help_head_key=&help_text_key=&menu_node_id=menu_node_setup_mysql&main_menu_page=db_mysql.php

 

[herbert007]

Dann hast Du oder Dein Hoster wahrscheinlich an den AllowOverride Options vom Apache Server bzw. einem Virtual Host gedreht.

Steht ja eigentl. auch im Log, daß in einer .htaccess Datei von phpmyadmin versucht wird eine Option zu setzen (Überschreiben der Grundeinstellung des Apache), was jedoch nicht erlaubt ist.

 

[Mythos]

Das ist mein eigener Vserver, was genau soll ich tun?

 

[herbert007]

Setze mal in deiner Apache Konfiguration "AllowOverride all"
um erstmal nen Ansatz zu haben.

core - Apache HTTP Server

 

[Mythos]

Ich habe 2 Vserver bei dem selben anbieter und wollte mal nach der .htaccess bei dem zweit Server reinschauen, doch da konnte ich im Ordner phpmyadmin keine finden.
Daraufhin habe ich bei dem Vserver wo der Login nicht ging, einfach die htaccess gelöscht und booms der login geht plötzlich wieder!

Jetzt frage ich mich wie diese htaccess dahin gelangt ist ? hier ein auszug aus der htaccess:

DirectoryIndex index.php
Options +FollowSymLinks -Indexes

<IfModule mod_mime.c>
    <IfModule mod_php4.c>
        AddType application/x-httpd-php .php

        php_flag magic_quotes_gpc Off
        php_flag track_vars On
        php_flag register_globals Off
        php_value include_path .
    </IfModule>
    <IfModule mod_php5.c>
        AddType application/x-httpd-php .php

        php_flag magic_quotes_gpc Off
        php_flag track_vars On
        php_flag register_globals Off
        php_value include_path .
    </IfModule>
    <IfModule !mod_php4.c>
    <IfModule !mod_php5.c>
    <IfModule !mod_fastcgi.c>
    <IfModule !mod_fcgid.c>
    <IfModule mod_actions.c>
    <IfModule mod_cgi.c>
        AddType application/x-httpd-php .php

        Action application/x-httpd-php /cgi-bin/php
    </IfModule>
    <IfModule mod_cgid.c>
        AddType application/x-httpd-php .php

        Action application/x-httpd-php /cgi-bin/php
    </IfModule>
    </IfModule>
    </IfModule>
    </IfModule>
    </IfModule>
    </IfModule>
</IfModule>

# Deny config.inc.php file
<Files config.inc.php>
    Order deny,allow
    Deny from all
</Files>
	
# Authorize for setup
<Files setup.php>
    # For Apache 1.3 and 2.0
    <IfModule mod_auth.c>
	AuthType Basic
	AuthName "phpMyAdmin Setup"
	AuthUserFile /etc/phpmyadmin/htpasswd.setup
    </IfModule>
    # For Apache 2.2
    <IfModule mod_authn_file.c>
	AuthType Basic
	AuthName "phpMyAdmin Setup"
	AuthUserFile /etc/phpmyadmin/htpasswd.setup
    </IfModule>
    Require valid-user
</Files>

 

[herbert007]

Mit dem Löschen der .htaccess Datei hast du auch automatisch einige Sicherheitsfunktionen ausgehebelt!

Wenn du Pech hast, liest z.B. jemand Deine Configs inkl. password aus.

Es kann an der phpmyadmin Version liegen, daß bei einer Version keine .htaccess Datei dabei war, oder sie wurde schoneinmal gelöscht (wahrscheinlicher).

Eventuell wurde auch einfach ein phpmyadmin mal über das sezup script installiert und eins per hand über die config datei.

Event. legt das Setup script die Datei an. (weiss ich jetzt nicht genau).

 

[Mythos]

@herbert007 Vielen Dank für deine Mühe!


Mein Hoster meinte:

Guten Tag,

überprüfen Sie die .htaccess des phpMyAdmin und kommentieren Sie die Options direktive aus.

Mit freundlichen Grüßen

Premium Support

Kann mir das einer genauer erläutern

 

[herbert007]

aus

Options +FollowSymLinks -Indexes

wird

# Options +FollowSymLinks -Indexes

weil Du diese Option nicht für den Apache setzen darfst.
(AllowOverride) lässt dies nicht zu. (siehe oben)

 

[phor]

Ist diese Änderung dann sicherheitskritisch?