Betrifft die Sicherheitslücke in PHP

Christian_N · Beitrag von **Christian_N** » 21.12.2004 15:44

Hallo,
Betrifft: http://www.phpbb.de/viewtopic.php?t=73199

also ich habe gerade von Evanzo also mein Provider eine Antwort bekommen, da ich es denne schrieb, damit die ggf. es Updaten.

Die Antwort war folgende:

Sehr geehrte .......,

wir haben einen Tip, damit dieses bei Ihnen nich passieren kann.

Aendern Sie einfach den Namen der Datei config.php in einem anderen
Namen und legen diese Datei in einem anderem Verzeichnis ab, so dass nicht
jeder darauf zugreifen kann.

--------------
Mit freundlichen Gruessen
Ihre Support-Abteilung
Michael Kuhn

Kann man es wirklich so machen? aber wenn dann muss man auch ein paar Datei noch bearbeiten weil in denne ja dann die config.php geladen wird. welche Datei wäre es dann?

M.f.G SuesseMaus28884

larsneo · Beitrag von **larsneo** » 21.12.2004 15:50

*kopfschüttel*
sorry - aber provider, die die von stefan esser geschilderte problematik nicht erkennen und solche tips geben, sind meiner meinung nach nicht ernst zu nehmen.

petzsch · Beitrag von **petzsch** » 21.12.2004 16:15

Ich schreibe hier mal als selbst betroffener Hoster

Es gibt eine Art Robot der die Lücke ausnutzt und sich ins System einklingt und alle .php Dateien mit seinem Inhalt überschreibt. Das ist ziemlich übel wenn man keine Backups hat.

Datenbanken werden Gott sei Dank nicht beschädigt!

Wann andere Provider die die Warnung in den Wind schlagen betroffen sind, ist nur eine Frage der Zeit.

Zu dem Vorschlag von Evanzo:
verschiebt man die config File geht das phpBB nicht mehr, das Einfalltor für den Crawler ist also weg. Intressanter Ansatz

Christian_N · Beitrag von **Christian_N** » 21.12.2004 16:22

petzsch hat geschrieben:....

Zu dem Vorschlag von Evanzo:
verschiebt man die config File geht das phpBB nicht mehr, das Einfalltor für den Crawler ist also weg. Intressanter Ansatz

*gg* Das habe ich auch denne geschrieben, dann auf diese Antwort (Tipp) und zum andere das ich da ich des Plus verwende sicher mehre Datei bearbeiten muss wo die Datenbank benötig wird also wo die config datei angelesen wird. (Weiss allerdings net welche Datei des alle sind) und habe dazu gleich gefragt ob es eigentlich ein Update geplant ist:

Antwort von denne:

Sehr geehrter ......,

ueber Lang oder Kurz ist ein Update geplant. Noch werden Tests mit
unseren Test-Servern durchgefuehrt.

Also finde ich das es noch dauern kann kann feb. kann mär. kann aber auch dez. 2005 werde lol mich weg.

Bin noch net solange bei Evanzo das ich sowas wegen PHP noch nicht gebraucht hatte. Und der Support ist immer Nett und Schnell gewesen und ansonste auch ganz zufrieden mit gewesen.

Gibt es eigentlich ein andere Provider wo man die aktuellste version ohne des sicherheitslücke problem in PHP + MySQL hat?
Oder was muss man nehme damit man selbst die PHP und MySQL installieren kann um dann selbst immer die aktuelle Version zu haben?

Über tipps wäre ich sehr dankbar.

M.f.G SuesseMaus28884

larsneo · Beitrag von **larsneo** » 21.12.2004 16:23

genau - und gegen das highlight-exploit setzt man eine .htaccess ein

Code: Alles auswählen

RewriteCond %{QUERY_STRING} highlight=(.*)esystem\(chr\(
RewriteRule (.*) - [F]

1) der wurm befällt nur phpBB2 boards < 2.0.11
2) wenn in shared hosting umgebungen suexec und safe_mode korrekt gesetzt sind kann nur das verzeichnis der betroffenen installation befallen werden, ansonsten unter umständen der komplette server
3) backups sollten selbstverständlich sein
4) php selber sollte (augrund diverser anderer sicherheitslücken) definitiv auf 4.3.10 aktualisiert werden

Christian_N · Beitrag von **Christian_N** » 21.12.2004 16:58

Also verstehe deine Antwort gerade nicht so ganz, aber hat mir nicht sehr weit geholfen, ob es kosten güstingen provider geben die die aktuelle versionen in PHP + MySQL haben.

M.f.G SuesseMaus28884

petzsch · Beitrag von **petzsch** » 21.12.2004 17:04

PHP und MySql upzudaten ist sache deines Providers, sei froh

Beim phpBB Update hilft die Doku

Tipp: Lass evanzo sausen, die sind der letzte Husten

mr.no-name · Beitrag von **mr.no-name** » 21.12.2004 17:06

Natürlich gibt es kostengünstige Provider, die PHP und MySQL zeitnäher updaten als so manche teure Hoster.

Allerdings ist der Wurm wie gesagt nur ein Problem, falls nicht zeitgemäße phpBB2 Versionen eingesetzt werden.

petzsch · Beitrag von **petzsch** » 21.12.2004 17:21

Falsch: auch die Konkurenz IPB und vB nutzen die kaputte PHP Funktion. Ob der Crawler/Bug auch für die anderen Boards geschrieben ist, sei hier mal dahingestellt.

Im Grundegenommen liegt die Schuld ja nicht bei phpBB, wenn eine php Funktion wie sie jeder nutzen kann, plötzlich zur Existenzfrage wird

Christian_N · Beitrag von **Christian_N** » 21.12.2004 17:42

Also habe jetzt mal ein Provider gefunde:
http://www.webspace24.de - weiss nicht wie der ist, kann mir da mal jemand sagen was drüber hat schon wer erfahrung mit ihm?

Zumindste habe die zur Zeit PHP 4.3.8 aber habe schon mit ein Mitarbeiter telefoniert, echt höflich war er

und hab ihn mal paar frage gestellt die offen waren, hat er alle gut beantwortet und wegen der momentane Version hat er noch gesagt das es die nächste Tage update wird auf 4.3.10 hab dann noch gefragt ob die immer updates mache, da hat er dann gesagt nur wenn sicherheitslücken uns bekannt werden, machen wir die schnellst möglich in den nächste tage immer. Wenn aber neue funktionen eine php-version nur hat, machen wir kein update.

Aber das sollte ja auch net so wichtig sein, hauptsache es wird bei sicherheitslücke gemacht find ich

Mal gespannt ob wer ihn schon kennt und ggf. mir sagen kann was für erfahrungen ihr gemacht habt.

M.f.G SuesseMaus28884