Sicherheit + unsichere PHP Scripts

[killerhorse]

Hallo,

Da es offensichtlich eine gefährliche Sache ist ein Forum o.ä. das bekannte Sicherheitslücken hat laufen zu lassen, stelle ich mir die Frage, wie macht man das dann am besten wenn man mehrere "Kunden" mit einer Domain aucf dem Server hat die ihre eigene Homepage haben und sich da auch nicht unbedingt dreinreden lassen wann sie was updaten müssen usw.
Wie macht das eigentlich ein Webhostingprovider der ja warscheinlich wirklich nicht die Möglichkeit hat immer alle Accounts zu kontrollieren.

Weiters würden sich glaub ich die Meisten Kunden schon fragen was sich der Admin denn einbildet, wenn dieser versucht ihnen vorzuschreiben welche PHP-Scripts sie verwenden dürfen und welche nicht...

wie kann man das Ganze dann halbwegs absichern. (Abgesehen von den allgemein bekannten Dingen wie Safemode, open basedir, ...)

MfG

Christian

PS: Hab diese Frage bereits in einem anderen Thread gestellt, hat aber nicht ganz dazugepasst, daher hab ich einen eigenen Thread aufgemacht.

Habe bereits folgendes als Antwort erhalten:

Du kannst z.b. hardenedphp verwenden.

Alternativ kannst du in die AGBs schreiben, daß derjenige User, der für den einbruch verantwortlich ist, eine Bearbeitungsgebühr/Aufwandsentschädigung von X euro zu zahlen hat :>

(schützt zwar nicht vor nicht aktuell gehaltenen scripten aber wenn das einmal passiert ist merken die User sich das meistens.)

[Joe User]

CGI statt Modul, strikte Rechtevergabe, ACL, ulimit, acct, suexec, chroot/jail, ...

[mc5000]

Klar - die Sicherheit sollte generell maximiert werden

Und in meinen AGB steht auch:

Ferner hat der Kunde die Verantwortung, dass Scripte und Programme, welche er einsetzt, keine Sicherheitslücken aufweisen. XXX ist berechtigt, Scripte und Programme zu deaktivieren, welche Sicherheitslücken oder -risiken beinhalten. XXX wird den Kunden umgehend bei einer solchen Maßnahme informieren.

... und später, dass er für Folgeschäden die Verantwortung trägt ... :roll:

Doch wenn der Kunde sich ein PostNuke drauf wirft ... wie kontrolliere ich das? Jo, ich suche regelmäßig nach auffälligen Dateien, doch so richtig überzeugend ist das nicht .... :?

Zusätzlich könnte ich das Plesk einsetzen. Das installiert für mich zB. phpBB2 oder OsCommerce oder weiß der Geier .... doch wie schnell läuft bei denen das Update ? 8O

Bei einer überschaubaren Anzahl von Kunden ist es noch machbar, alle selbst im Auge zu behalten und sich auch über ftp-uploads und dergleichen zu informieren ... doch bei hunderten von Usern ist das sinnlos ...

Okay-> No risk! No fun! :twisted:

Wie sehen denn Eure Präventivmaßnahmen aus? (Ausgenommen der generellen Sicherheitsaktionen) Oder dürfen bei Euch die User gar keine umfangreichen Scripte einsetzen?

[suntzu]

Hi,

ich kann und will nicht jedes einzelne Skript überwachen, was sich meine Kunden auf ihren Webspace legen. Ich vertraue da meinen Sicherheitsmaßnahmen (siehe Joe Users Beitrag) und der regelmäßigen Kontrolle der "Vitalparameter" des Systems. Sollte ich bei letzterem Auffälligkeiten feststellen wird geschaut, ansonsten können die doch machen was sie wollen. Eine Beeinflussung anderer Kunden oder gar des ganzen Systems kann ich halt nur so unwahrscheinlich wie möglich machen, nie 100%ig verhindern.

Daher: Kein Eingriff in die Privatsphäre der Kunden (und damit in deren Dateien) solange kein "Anfangsverdacht" besteht.

Gruß,
Dominik

PS: Ich würde bei dir keinen Vertrag abschließen denn ich finde die Zeile "...der Kunde die Verantwortung, dass Scripte und Programme, welche er einsetzt, keine Sicherheitslücken aufweisen." aus Kundensicht nicht tragbar. Damit würden ja so ziemlich alle Skripte unter den Tisch fallen, vor allem selbstgeschriebene...

[mc5000]

Ich würde bei dir keinen Vertrag abschließen

Nun, für mich stellt sich die Frage der Verantwortung. Und ich übernehme nicht die Verantwortung, wenn Scripte der Kunden Störungen im laufenden Betrieb verursachen. Darum biete ich Kunden auch Installations- und Wartungsdienste an.

Und wenn Kunden aufgrund dieser Klausel keinen Vertrag mit mir eingehen, schmerzt mich das wenig. :twisted:

Die Vertragsklausel wird eh erst interessant, wenn Schäden entstanden sind und das lustige "schiebenwirmaldenschwarzenpeterrum-spiel" beginnt. :o

PS.
Ich erwarte, dass sich Kunden über Ihre Scripte Gedanken machen und ordentlich prüfen, bevor sie auf die Menschheit losgelassen werden ...

[tcs]

Wenn man die Servertasks entsprechend sicher konfiguriert und in den AGBs hinterlegt daß unsichere Scripts oder solche die unsichere Settings erfordern nicht unterstützt werden sollte sich das eigentlich ohne weiteres machen lassen.
Witzig wird's dann wenn einem die Kunden auf's Dach steigen weil PHP Nuke nicht läuft :-D

btw: bei einem Nessus Scan auf einen Webserver auf dem PHP-Nuke läuft wird dies als üble Sicherheitslücke moniert :lol:
Unter anderem deswegen bin ich gerade auf der Suche nach einer brauchbaren Alternative, ich muß gestehen daß ich es selbst am laufen habe... :oops:

Cheers

tcs

[kawfy]

[...]
Doch wenn der Kunde sich ein PostNuke drauf wirft ... wie kontrolliere ich das? Jo, ich suche regelmäßig nach auffälligen Dateien, doch so richtig überzeugend ist das nicht .... :?
[...]
Bei einer überschaubaren Anzahl von Kunden ist es noch machbar, alle selbst im Auge zu behalten und sich auch über ftp-uploads und dergleichen zu informieren ... doch bei hunderten von Usern ist das sinnlos ...
[...]

Wenn du so viele User hast, stellst du jemanden ein, der das für dich macht. :)

:!: Du musst bei den verbreiteten Skripten halt auf dem Laufenden sein. Bei einem bekannt gewordenen Exploit suchst du per Skript auf dem gesamten Webspace nach den typischen Dateien und guckst, welche Version das genau ist. Wenn ein Hack erfolgreich war und dort irgendwas passiert ist, die Skripte lahm legen. Dann den User informieren. Für solche Fälle muss es dann Klauseln in den AGB geben.

[captaincrunch]

"Schutz" per AGB ist aber immer noch ausschließlich Reaktion. Die eigentliche Frage ging aber IMHO eher um Prävention... ;)

[mc5000]

Du musst bei den verbreiteten Skripten halt auf dem Laufenden sein. Bei einem bekannt gewordenen Exploit suchst du per Skript auf dem gesamten Webspace nach den typischen Dateien und guckst, welche Version das genau ist.

Und wie schon SunTzu so richtig bemerkt hat - ununterbrochen die Dateien der User zu prüfen ist nicht wirklich die feine Art .... :?

Wenn du so viele User hast, stellst du jemanden ein, der das für dich macht.

Ich glaube, den stell ich aus anderen Gründen ein - als die Skripte meiner Kunden zu kontrollieren ...

[metallica]

Ich denke die generelle Methode ist auch bei größeren Firmen es darauf ankommen zu lassen.
Ich meine irgendwo gibts auch Grenzen was das Einschränken angeht. Der User sollte ja trotz Sicherheit noch einen hohen Komfort haben!

Und wenn etwas passiert dann wird was unternommen.

[kawfy]

Du musst bei den verbreiteten Skripten halt auf dem Laufenden sein. Bei einem bekannt gewordenen Exploit suchst du per Skript auf dem gesamten Webspace nach den typischen Dateien und guckst, welche Version das genau ist.

[...] ununterbrochen die Dateien der User zu prüfen ist nicht wirklich die feine Art .... :?

... davon war jetzt aber nicht die Rede, gelle? ... :roll:

[rudi]

Bei wenigen Kunden kann man nochmal ab und zu schaun was die auf dem Webspace lagern, bei vielen Kunden natürlich recht schwierig. Ich suche auch ab und zu mal mit "locate *.mp3" - Es gibt durchaus Kunden die gerne mal eine kleine MP3 Sammlung illegal auf ihrem Webspace lagern. - Sperren und Frist setzen zum Entfernen... Wie macht ihr das?

[yt]

Und was machst du, wenn die das als RAR, ZIP oder sonstwas abspeichern? Oder nur die Endung ändern? Und sowieso, woher weisst du, dass es illegale Dateien sind? Könnten doch auch selbstaufgenommene Sachen sein.

[tcs]

Man könnte einfach britney.exe nehmen und damit *.mp3 ersetzen
Hab letztens einen User auf meinem Server virtuell gesteinigt weil in seinem home eine Datei rumlag die erstens fast 1GB groß war und zweitens im Dateinamen "rip", "dvd" und ".avi" hatte.
Er ist jetzt handzahm :-D

Cheers

tcs

[rudi]

Und was machst du, wenn die das als RAR, ZIP oder sonstwas abspeichern? Oder nur die Endung ändern? Und sowieso, woher weisst du, dass es illegale Dateien sind? Könnten doch auch selbstaufgenommene Sachen sein.

Ich möchte ja nur grob sichern sein. Habe damit schon einige User erwischt.
Wenn es .mp3's sind erkennt man das oftmals am Dateinamen. Nicht alle User machen sich soviele Gedanken...