Dem Hack keine Chance: LAMP sicher betreiben

Backdoors und Manipulation auf dem Webserver? Wir demonstrieren, wie Sie
Einbrüche durch eine sichere PHP-Konfiguration verhindern.
Die einzelnen Sicherungsschichten werden durch einfache
praktische Einbruchsversuche veranschaulicht.

Um die Sicherheit zahlreicher Webserver ist es mehr als schlecht bestellt: PHP ist nachlässig bis gar nicht abgesichert, fast alle namhaften großen Webhoster haben ihre Hausaufgaben kaum oder gar nicht gemacht, wie kleine Stichproben erschreckend schnell zeigen.

Mit einigen wenigen PHP-Kommandos ist es damit möglich, auf sehr vielen Webservern vollständigen Zugriff auf die Festplatte und darauf gespeicherte Passwörter und Datenbanken zu bekommen. Dabei ist letztenendes noch nicht mal ein eigener Kundenaccount auf dem angegriffenen Server nötig -- selbst remote von extern laesst sich sehr oft auf triviale Art und Weise eigener PHP-Code einspielen und auf dem Server ausführen, wie im Vortrag demonstriert wird.

Eine Absicherung von PHP kostet ein wenig Arbeit, ist aber problemlos möglich und sollte selbstverständlich sein. Auf richtig installierten Servern haben weder Santy noch Script-Kiddis eine Chance.

Doch warum schützt sich kaum einer? *Diese* Frage wird der Vortrag nicht beantworten koennen, wohl aber, wo die Probleme sind, was zu tun ist und was es dabei zu beachten gilt. Der Vortrag richtet sich dabei weniger an PHP-Programmierer als an Webserver-Admins, die sich vor den Fehlern der Programmierer schützen müssen...