PHP-Sicherheit für Shared Webserver

Um die Sicherheit zahlreicher Webserver ist es mehr als schlecht bestellt: PHP ist nachlässig bis gar nicht abgesichert, fast alle namhaften großen Webhoster haben ihre Hausaufgaben kaum oder gar nicht gemacht, wie kleine Stichproben erschreckend schnell zeigen. Mit einigen wenigen PHP-Kommandos ist es damit möglich, auf sehr vielen Webservern vollständigen Zugriff auf die Festplatte und darauf gespeicherte Passwörter und Datenbanken zu bekommen. Dabei ist letztenendes noch nicht mal ein eigener Kundenaccount auf dem angegriffenen Server nötig -- selbst remote von extern laesst sich sehr oft auf triviale Art und Weise eigener PHP-Code einspielen und auf dem Server ausführen.

Mittlerweile machen sich erste Würmer (z.B. "Santy") diese Lücken zu nutze und brechen automatisiert in Webserver ein. Eine Absicherung von PHP kostet ein wenig Arbeit, ist aber problemlos möglich und sollte selbstverständlich sein. Auf richtig installierten Servern haben weder Santy noch Script-Kiddis eine Chance.

Doch warum schützt sich kaum einer? *Diese* Frage wird der Vortrag nicht beantworten koennen, wohl aber, wo die Probleme sind, was zu tun ist und was es dabei zu beachten gilt. Der Vortrag richtet sich dabei weniger an PHP-Programmierer als an Webserver-Admins, die sich vor den Fehlern der Programmierer schützen muessen...

Peer Heinlein

Referent:

Peer Heinlein betreibt mit seinem Team seit 1992 einen eigenen Internet-Service-Provider und ist routinierter Linux-Administrator. Sein 2002 erschienenes "Postfix-Buch" über den Betrieb von Mailservern ist zum Standardwerk geworden; mittlerweile sind auch seine Bücher "LPIC-1" und "Snort, Acid & Co." bei Open Source Press erschienen. Peer Heinlein ist zertifiziert nach LPIC-2 und führt seit vielen Jahren Schulungen für UNIX-/Linux-Administratoren über Aufbau und Betrieb sicherer IP-Netzwerke durch.