Sicherheitslücke PHP ?-s

Das würde mich auch interessieren. Mein Anbieter hat zwar sofort dafür gesorgt, die entsprechenden Aufrufe zu unterbinden, aber ich werde erst heute Nacht erfahren können, ob das Kind schon in den Brunnen gefallen ist.

 

Was hat denn dein Hoster geschrieben? Hast du Grund zu der Annahme, dass du über diese Lücke gehackt wurdest? Nutzt du überhaupt php5-cgi?

Wenn du tatsächlich davon ausgehst, dass Fremde zugriff auf deinen Webspace hatten, solltest du zuerst die Seite offline nehmen und ein komplettes Backup erstellen. Dann solltest du sämtliche Dateien überprüfen, sämtliche Passwörter ändern und erst dann die Seite wieder online stellen.
Standard-WordPress-Dateien kannst du eigentlich komplett ersetzen, die musst du nicht extra überprüfen. Einfach eine frische Version herunterladen und alte Dateien damit überschreiben. Alle anderen Dateien sind potentiell geändert.

Eine sichere Umgebung bereitzustellen ist übrigens eigentlich Sache des Hosters. Es gibt einen Patch, der php5-cgi gegen die Attacke absichert. Wenn dein Hoster das nicht hin bekommt (was nicht für seine Qualitäten als Hoster spräche), könntest du die Anfragen per mod_rewrite unterbinden:

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Das eingefügt in deine .htaccess sollte deine Installation absichern.

Das sollte dir dein Hoster sagen können. Wenn der Verdacht besteht, dass fremde Zugriff hatten, solltest du vorgehen, wie oben schon beschrieben. Gibt es denn Log-Einträge, die einen solchen Verdacht stützen?

 

Das werde ich, wie gesagt, erst heute Nacht erfahren können, wenn die Log-Einträge aktualisiert wurden. Mir selbst ist jetzt nichts aufgefallen. Alles funktioniert wie es soll.

Seltsamerweise scheint das nicht mal mein Hoster zu wissen, denn in der E-Mail Nachricht heißt es:
"Sofern Sie PHP5 als CGI-Modul nutzen empfehlen wir Ihnen dringend, die
in den Scripten verwendeten Zugangsdaten zu ändern."

Ich weiß es also nicht, wüsste aber gern, wie ich das herausfinden kann.

 

All das klingt sehr nach all-inkl.com... Als ich die Mail gestern abend bekam und dann beim Support per Mail nachfragte wie ich denn herausfinden kann ob ich PHP5 als CGI-Modul nutze bekam ich nur die Antwort dies könnten sie nicht überprüfen und ich soll die Logfiles studieren die heute nacht um 1 Uhr erstellt wurden.

Dies habe ich gemacht und ich habe keine ?-s Aufrufe festgestellt. Wenn ich mein Blog aufrufe, bzw. an die URL index.php?-s hänge wird der Zugriff auch gesperrt. Ich gehe davon aus bei mir alles in Ordnung ist.

Aber es würde mich schon interessieren: Wie bekomme ich heraus ob ich PHP5 als CGI-Modul nutze? Ich habe eine ganz "normale" WordPress Installation, als Plugins nutze ich den Google XML Sitemap Generator, AntispamBee und AntiVirus für WordPress.

Viele Grüße,

Joachim

 

also wenn es wer weis welche PHP Version und ob PHP als CGI Modul verwendet wird ist das der Hoster. sonst ist das kein Hoster, sondern ... naja.

 

Richtig. Das ist auch mein Anbieter. Habe jetzt erst mal mein Datenbankpasswort geändert und auch sonst keine Ungereimtheiten feststellen können. Was mich noch interessieren würde, wäre, wie ich den mod_rewrite Code einbinden soll. Gehört der Code zusätzlich in...

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

oder sollen die Zeilen...

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

einen Teil ersetzen?

 

nen php datei erstellen
<?php phpinfo(); ?> darins chreiben, im webbrowser aufrufen und unter Server API steht in der Regel die Art des Aufrufes und dann wisst ihr ob Ihr CGI einsetzt.

Die Hoster wissen nicht unbedingt was du einsetzt, da du es zb unter confixx / plesk / ispconfig frei aussuchen kannst welche rmodus läuft

 

Normalerweise sollte es so sein, dass die "normalen Hostingpakete" bei All-Inkl. mit PHP als Apache Modul laufen. PHP als CGI Anwendung muss über die htaccess eingestellt werden.

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

http://all-inkl.com/wichtig/faq/#faq_software

Und ob CGI bei Dir genutzt wird, kannst Du mit einer phpinfo Datei schnell selbst herausfinden. Dort findest Du dann solche Angaben:

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Ebenso dürftest Du sowas wie loaded_modules oder Werte die mit mod_ beginnen dort nicht finden.

EDIT: Zu langsam...

 

Danke für Deine Hinweise. Bei mir steht in der phpinfo:

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Ich gehe also mal davon aus dass bei mir alles in Ordnung ist.

Danke nochmals für die Info.

Viele Grüße,

Joachim

 

Danke an alle, die geantwortet haben. Ich denke, dann bin ich gar nicht betroffen. Die Änderung des Passwortes konnte ja dennoch nicht schaden. :smile: