Hallo! Ich hab jetzt die Doku zu Apache und auch diesen Artikel angeschaut: http://www-106.ibm.com/developerworks/security/library/s-wssec.html aber leider gehen diese alle auf CGI und nicht auf mein Problem mit php ein, das wiefolgt aussieht: Ich habe mod_userdir aktiv, jetzt kann leider jeder User, der böse genug ist ;) in seinem ~/public_html eine index.php erstellen mit z.b. diesem Inhalt: <?php echo "test"; system("ls /var/www/SOMEAPP/adm -l"); system("cat /var/www/SOMEAPP/adm/DATEN_WEBSERVER_LESEN_SOLL_ABER_NICHT_USER.php"); ?> und damit alle möglichen Sachen mit den Rechten von www-data ausführen.....Testweise haben wir damit das MySQL-Passwort unseres Forums ausgelesen und Felder umgeschrieben.... Wie unterbindet man sowas denn am besten, ein IncludesNoExec ist ja schon gesetzt? Wie löst ihr das, oder steh ich da wo grob auf der Leitung? Herzlichen Dank im voraus für eine Antwort, Ciao, Steve -- www.cargal.org GnuPG-key-ID: 0x051422A0 "Be the change you want to see in the world"-Mahatma Gandhi Jabber-ID: lotussteve@cargal.org
Attachment:
pgpjd4wngftvD.pgp
Description: PGP signature