PHP-Security auf Shared Webservern

Peer Heinlein (Linux Security Consultant, Heinlein Professional Linux Support GmbH) / E-Mail:


Sonntag, 13:00 Uhr, Raum V5

Um die Sicherheit zahlreicher Webserver ist es mehr als schlecht bestellt: PHP ist nachlässig bis gar nicht abgesichert, fast alle namhaften großen Webhoster haben ihre Hausaufgaben kaum oder gar nicht gemacht, wie kleine Stichproben erschreckend schnell zeigen.

Mit einigen wenigen PHP-Kommandos ist es damit möglich, auf sehr vielen Webservern vollständigen Zugriff auf die Festplatte und darauf gespeicherten Passwörtern und Datenbanken zu bekommen. Dabei ist letztenendes noch nicht mal ein eigener Kundenaccount auf dem angegriffenen Server nötig -- selbst remote von extern läßt sich sehr oft auf triviale Art und Weise eigener PHP-Code einspielen und auf dem Server ausführen.

Mittlerweile machen sich erste Würmer (z.B. "Santy") diese Lücken zu nutze und brechen automatisiert in Webserver ein.

Eine Absicherung von PHP kostet ein wenig Arbeit, ist aber problemlos möglich und sollte selbstverständlich sein. Auf richtig installierten Servern haben weder Santy noch Script-Kiddis eine Chance.

Doch warum schützt sich kaum einer? *Diese* Frage wird der Vortrag nicht beantworten können, wohl aber, wo die Probleme sind, was zu tun ist und was es dabei zu beachten gilt.

Erwünschte Vorkenntnisse: Apache und PHP Grundkenntnisse (Apache Configuration, Existenz von der php.ini :-), Leichte PHP-Kommandos wie Includes etc.

Material zum Beitrag: Folien