[Postfixbuch-users] OT Site gehackt
crandler
crandler at crandland.de
Mi Nov 28 15:33:06 CET 2007
> In den Logs habe ich folgendes gefunden
> ...EXIF_Makernote.php?mosConfig_absolute_path=http://...
Klassisches Beispiel von Code Injection mittel url_fopen.
Ganz kurz gesagt:
Das Script "includiert" den Inhalt der URL ohne Prüfung auf Sinn und Unsinn
bzw. Sicherheit und Unsicherheit. :)
> Ich hoffe mal das mein Server mit
> PHP 5.2.3-1+lenny1 (cli) (built: Oct 3 2007 19:22:40)
> Copyright (c) 1997-2007 The PHP Group
> Zend Engine v2.2.0, Copyright (c) 1998-2007 Zend Technologies
>
> Erstmal sicher ist konnte bis dato in den eigenen Logs auch noch keine
> Aufrufe dieser Art finden.
Evtl. mal sicherheitshalber rkhunter und/oder chkrootkit drüber laufen
lassen. Kenne deinen Server nicht. :)
Läuft PHP als Modul oder CGI?
> Noch jemand Tips damit es gar nicht erst passiert?
- Software aktuell halten, Löcher regelmäßig "stopfen"
- Kunden zu mehr Vorsorge drängen, denn Vorsicht ist besser als... (kennst
du ja sicher)
- mod_security verwenden
- allow_url_fopen deaktivieren (könnte bei manchen Skripten Probleme
bereiten)
> Der die Seite geschrieben bzw. eingerichtet hat ist verständigt um evtl.
> Updates einzuspielen.
Das muss er wohl. :)
Mehr Informationen über die Mailingliste Postfixbuch-users