Hallo, ich betreibe einen OpenSuSE 12.1 Apache mit FastCGi. Darauf laufen einige Hosts. Ich habe vor ein paar Jahren vom mod_php auf fastcgi umgestellt, wegen div. Sicherheitsprobleme. Lange Zeit war das auch OK. Meine VHosts laufen mit OpenBaseDirRestriction und FastCGI wird so konfiguriert: exec /usr/bin/php-cgi -d open_basedir=/srv/www/htdocs/user12/:/usr/share/php5/PEAR/ -d session.save_path=/srv/www/htdocs/user12/temp/ -d upload_tmp_dir=/srv/www/htdocs/user12/temp. Heute Nacht gab es Probleme. Irgend ein Script wurde zum Portscan eines fremden Servers genutzt, dabei wurde ein Script mit dem Namen pshak auf meinen Server ausgeführt. Ich habe das Script im /tmp/ Verzeichniss gefunden. Dort wurde es anscheinend über einen uralten phpMyAdmin hochgeladen. Ich habe mittlerweile auch rausgefunden das man weiterhin per php etwas ins normale /tmp/ kopieren kann. Obwohl die open_basedir restriction das ja eigentlich nicht erlaubt. Ein Programm wie dieses scheitert auch daran: