teilweise OT: Wie PHP Skripte mit Backdoor verhindern
Hallo zusammen, aus aktuellem Anlass stelle ich mich mir folgende Frage: Wenn ich einen Webserver mit diversen vhosts betreibe, wie kann ich erkennen/verhindern, dass einzelne User PHP Skripte installieren, die Backdoors enthalten oder generell Sicherheitsrisiken darstellen? Das müsste doch ein generelles Problem aller Hostingprovider sein... Jede Nacht die Verzeichnisse zu scannen ist doch viel zu aufwändig, denke ich mir. Danke für Ideen! Tschau Stefan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Donnerstag, 9. Juli 2009 schrieb C.M. Burns:
Hallo zusammen,
aus aktuellem Anlass stelle ich mich mir folgende Frage: Wenn ich einen Webserver mit diversen vhosts betreibe, wie kann ich erkennen/verhindern, dass einzelne User PHP Skripte installieren, die Backdoors enthalten oder generell Sicherheitsrisiken darstellen? Das müsste doch ein generelles Problem aller Hostingprovider sein... es gibt ja schon ein paar Sicherheitseinstellungen in der php.conf, die man setzen könnte und sollte. Ansonsten: Apache möglichst sicher konfigurieren, keine Links auf Systemebene erlauben und so weiter. Und natürlich auch die Datenbank entsprechend sichern (passender User usw.)
Ansonsten: Du kannst nur dafür sorgen, dass Hacker nicht Dein gesamtes System plätten oder lesen können. Die Verzeichnisse der Anwender kannst Du kaum schützen. Das Problem haben aber auch größere (und sicher auf einer gewissen Ebene auch professionelle) Hoster wie z.B. 1&1 (also nicht dass ich die als besonders schlecht bezeichnen kann - im Gegenteil, ich denke schon, dass die ein recht professionelles Massen-Webhosting betreiben). Aber auch bei denen wird schon mal die ein oder andere Site gehackt - gerade in Verbindung mit irgendwelchen Scripten bzw. ganzen Portalsystemen, die die Kunden dort installiert und nicht ständig upgedatet haben.
Jede Nacht die Verzeichnisse zu scannen ist doch viel zu aufwändig, denke ich mir.
Nach was denn? Man kann in ein Script schließlich beliebig viele Fehler einbauen. Man könnte nach ein paar bekannten "bösen" Schlüsselwörten suchen - das könnte man aber auch direkt nach dem Hochladen tun (z.B. in dem man das Hochladen auch per Script realisiert und dann prüft)
Danke für Ideen!
Tschau Stefan
Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
C.M. Burns schrieb:
aus aktuellem Anlass stelle ich mich mir folgende Frage: Wenn ich einen Webserver mit diversen vhosts betreibe, wie kann ich erkennen/verhindern, dass einzelne User PHP Skripte installieren, die Backdoors enthalten oder generell Sicherheitsrisiken darstellen?
Erkennen: Quellcode ansehen Verhindern: nur eigene, geprüfte Scripte zulassen
Das müsste doch ein generelles Problem aller Hostingprovider sein...
Nicht wirklich. Die Verantwortung liegt beim Kunden. Wenn Schaden wegen eines unsicheren Scripts von ihm entsteht, wird er in die Haftung genommen. Die Server sind aber normalerweise schon so konfiguriert, dass nur die eigene Webpräsenz abgeschossen werden kann, V-Server sind dann in der Regel so überwacht, dass beim Admin ein rotes Lichtlein aufleuchtet, wenn sie den Host zu sehr beanspruchen. Kosten für Über-Traffic gehen ja sowieso an den Kunden weiter. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Guten Tag C.M. Burns, am Donnerstag, 9. Juli 2009 um 12:52 schrieben Sie:
Hallo zusammen,
aus aktuellem Anlass stelle ich mich mir folgende Frage: Wenn ich einen Webserver mit diversen vhosts betreibe, wie kann ich erkennen/verhindern, dass einzelne User PHP Skripte installieren, die Backdoors enthalten oder generell Sicherheitsrisiken darstellen? Das müsste doch ein generelles Problem aller Hostingprovider sein...
Jede Nacht die Verzeichnisse zu scannen ist doch viel zu aufwändig, denke ich mir.
Danke für Ideen!
Tschau Stefan
evtl hilft dir das ? http://www.heise.de/security/Erste-Schritte-mit-der-Einbruchserkennung-PHPID... -- Mit freundlichen Grüßen Sebastian Gödecke mailto:simpsonetti@googlemail.com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
C.M. Burns schrieb:
Hallo zusammen,
aus aktuellem Anlass stelle ich mich mir folgende Frage: Wenn ich einen Webserver mit diversen vhosts betreibe, wie kann ich erkennen/verhindern, dass einzelne User PHP Skripte installieren, die Backdoors enthalten oder generell Sicherheitsrisiken darstellen? Das müsste doch ein generelles Problem aller Hostingprovider sein...
Jede Nacht die Verzeichnisse zu scannen ist doch viel zu aufwändig, denke ich mir.
Danke für Ideen!
Tschau Stefan
meide php blöde antwort ich weiß. python ist aber trotzdem ne gute Alternative. Vor allem wenn man mal in die cve eintragungen schaut. http://www.security-database.com/cgi-bin/search-sd.cgi?q=php http://www.security-database.com/cgi-bin/search-sd.cgi?q=python Die user sollten dann villeicht noch ein framework benutzen, z.B. django um ihre webseiten zu gestalten. Das fängt dann auch einige Probleme ab. Reimar -- Reimar Bauer Institut fuer Stratosphaerische Chemie (ICG-1) Forschungszentrum Juelich email: R.Bauer@fz-juelich.de ------------------------------------------------------------------------------------------------ ------------------------------------------------------------------------------------------------ Forschungszentrum Juelich GmbH 52425 Juelich Sitz der Gesellschaft: Juelich Eingetragen im Handelsregister des Amtsgerichts Dueren Nr. HR B 3498 Vorsitzende des Aufsichtsrats: MinDir'in Baerbel Brumme-Bothe Geschaeftsfuehrung: Prof. Dr. Achim Bachem (Vorsitzender), Dr. Ulrich Krafft (stellv. Vorsitzender), Prof. Dr.-Ing. Harald Bolt, Prof. Dr. Sebastian M. Schmidt ------------------------------------------------------------------------------------------------ ------------------------------------------------------------------------------------------------ -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Reimar Bauer schrieb:
meide php
blöde antwort ich weiß. python ist aber trotzdem ne gute Alternative. Vor allem wenn man mal in die cve eintragungen schaut. http://www.security-database.com/cgi-bin/search-sd.cgi?q=php http://www.security-database.com/cgi-bin/search-sd.cgi?q=python
Warum dann nicht gleich Cobol? http://www.security-database.com/cgi-bin/search-sd.cgi?q=cobol Das wäre dann ja noch mal um einiges sicherer... Ich könnte auch Äpfel mit Einkaufstüten vergleichen und dann feststellen, dass Einkaufstüten viel besser sind, weil Äpfel nach 4 Wochen verfault sind... -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (5)
-
C.M. Burns -
Martin Hofius -
Reimar Bauer -
Sebastian Gödecke -
Ulrich Gehauf