[Global-announce] Wichtige Aenderungen im PHP-Bereich

Michael Hierweck michael.hierweck at hostsharing.net
Thu May 8 08:00:05 CEST 2008 

Liebe Hostsharing-Mitglieder und -Nutzer,

in der vergangenen Woche wurden wiederholt Sicherheitslücken in
PHP-Skripten von Kunden-Websites zum Versand von Spam missbraucht. In
einem Fall wurden durch Sicherheitslücken in PHP-Skripten der Kunden
externer Schadcode zum Versand von Spam sowie zur Durchführung von
Phishing-Attacken installiert und nach derzeitigem Kenntnisstand auch
genutzt.

Da die betroffenen Pakete allesamt mod_php verwenden und der Schadcode
so als User httpd ausgeführt wurde, gestaltete sich die Suche besonders
schwierig. Um zu verhindern dass während der Untersuchung weiter Spam
versendet wird, müssen wir den Mailserver anhalten bis der Verursacher
gefunden ist. Dies gestaltet sich bei langlaufenden Skripten besonders
schwierig und langwierig, da selbst aufwendige Zeitvergleiche von
HTTP-Requests und Spamwellen nur bedingt Anhaltspunkte geben. Während
dieser Zeit ist die Nutzung aller Pakete eines Hives zumindest
hinsichtlich Email massiv eingeschränkt, erfahrungsgemäß handelt es sich
dabei um ein bis mehrere Stunden je Fall. Jeder Fall von Spamversand
birgt auch die Gefahr, dass unsere Server auf Blacklists erscheinen und
der Versand von Mails über unsere System nachhaltig beeinträchtigt wird.

Um betroffene Pakete in Zukunft schnell und eindeutig identifizieren zu
können, werden wir gleichzeitig mit der Abschaltung von PHP 4 am 31.
Juli 2008 das Leistungsmerkmal mod_php für Pakete ohne eigene httpd.conf
(Zusatzoption) abschaffen, da mod_php die Herkunft von Schadcode durch
die Ausführung des Codes unter der Kennung httpd verschleiert.

Anwender, die bisher mod_php verwenden, müssen spätestens zu diesem
Zeitpunkt auf die Verwendung von PHP über CGI wechseln. [1]

Alternativ besteht die Möglichkeit gegen Aufpreis die Option "eigene
httpd.conf" zu buchen. Mit dieser Option besteht die Möglichkeit,
weiterhin mod_php (auch ohne Safe Mode) zu betreiben, da die eigene
Apache-Instanz dann mit den Rechten des Anwenders ausgeführt wird.

Um dem häufigsten Problem des Spamversands effektiv zu begegnen, kommt
diese Maßnahme jedoch unserer Meinung nach zu spät. Daher werden wir zum
31. Mai 2008 die PHP-Funktion mail() bei Verwendung von mod_php in der
zentralen Konfiguration sperren. Anwender von mod_php, die auf diese
Funktion angewiesen sind, müssen bereits zu diesem vorgezogenen Termin
auf PHP über CGI wechseln. [1]

=========================================================================

Termine im Überblick:

31.05.2008 Abschaltung von mail() für die zentrale mod_php-Installation
31.07.2008 Abschaltung von PHP 4 und der zentralen mod_php-Installation

=========================================================================

Wir bitten für diese Maßnahmen, welche zur Verbesserung Sicherheit und
Verfügbarkeit des Serverbetriebs notwendig sind, um Verständnis.

[1]
http://www.hostsharing.net/dokumentation/installationsanleitungen/php-via-cgi.html

Alles Gute im Namen der Hostmaster

	Michael Hierweck

-- 
Hostsharing eG | Glockengießerwall 17 | D-20095 Hamburg
Registergericht Hamburg, GnR 1007 | USt.-ID-Nr.: DE218602793
vertretungsber. Vorstand: Uwe Müller, Peter Niederlag, Michael Hönnig
phone+fax: +49 700 HOSTSHARING (= +49 700 46787427)

More information about the Global-announce mailing list