[Postfixbuch-users] OT Site gehackt
Uwe Driessen
driessen at fblan.de
Mi Nov 28 15:44:03 CET 2007
Crandler schrieb:
> > In den Logs habe ich folgendes gefunden
> > ...EXIF_Makernote.php?mosConfig_absolute_path=http://...
>
> Klassisches Beispiel von Code Injection mittel url_fopen.
>
> Ganz kurz gesagt:
> Das Script "includiert" den Inhalt der URL ohne Prüfung auf Sinn und Unsinn
> bzw. Sicherheit und Unsicherheit. :)
Gut zu wissen
>
>
> > Ich hoffe mal das mein Server mit
> > PHP 5.2.3-1+lenny1 (cli) (built: Oct 3 2007 19:22:40)
> > Copyright (c) 1997-2007 The PHP Group
> > Zend Engine v2.2.0, Copyright (c) 1998-2007 Zend Technologies
> >
> > Erstmal sicher ist konnte bis dato in den eigenen Logs auch noch keine
> > Aufrufe dieser Art finden.
>
> Evtl. mal sicherheitshalber rkhunter und/oder chkrootkit drüber laufen
> lassen. Kenne deinen Server nicht. :)
> Läuft PHP als Modul oder CGI?
Php als modul
Rkhunter als auch chrootkit rennen 2 mal am Tag (ein bisschen paranoid hat noch nie
geschadet *gg)
>
>
> > Noch jemand Tips damit es gar nicht erst passiert?
>
> - Software aktuell halten, Löcher regelmäßig "stopfen"
Ist selbstverständlich, wird fast täglich gemacht
>
> - Kunden zu mehr Vorsorge drängen, denn Vorsicht ist besser als... (kennst
>
> du ja sicher)
>
> - mod_security verwenden
Rennt ebenfalls
>
> - allow_url_fopen deaktivieren (könnte bei manchen Skripten Probleme
> bereiten)
Muß ich mal testen
>
>
> > Der die Seite geschrieben bzw. eingerichtet hat ist verständigt um evtl.
> > Updates einzuspielen.
>
> Das muss er wohl. :)
>
Er ist schon dranne *gg
Mit freundlichen Grüßen
Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045 Fax: 06708 / 661397
Mehr Informationen über die Mailingliste Postfixbuch-users