PHP als CGI: Denial of Service-Angriff?

To: debian-user-german@lists.debian.org
Subject: PHP als CGI: Denial of Service-Angriff?
From: Florian Effenberger <floeff@arcor.de>
Date: Tue, 28 Sep 2004 20:44:46 +0200
Message-id: <[🔎] 4159B11E.9030008@arcor.de>

Hallo zusammen,

PHP, als CGI installiert, macht das System offen für einen Denial ofService-Angriff, unabhängig davon ob es mitttels suPHP odersuEXEC+binfmt eingebunden ist. Ein einfaches Skript wie


<? echo "Hello world"; ?>

kann bereits einen Server zum Absturz bringen, sofern jemand die Adressein einem Browser öffnet und den Reload-Button mehrere Sekunden langbetätigt. Ich hab bereits die RMax-Direktiven in der httpd.confprobiert, ebenso das memory limit in php.ini - beides brachte nichts.Ich vermute, es werden so viele Prozesse gespawned, dass das Systemschlichtweg die Kontrolle verliert. Meinen Load bekomme ich bis hin zu91 hoch, die Platte swappt dann 30 Minuten. Wenn ich Pech habe ist dieganze Kiste tot und der Kernel hängt sich mit Out of memory weg.

Mir fällt nur noch ein, cgiwrap zu testen, um den Speicher zulimitieren, ansonsten bin ich relativ hilflos. Hat jemand eine Idee, wasman tun könnte? Es kann ja nicht sein, dass jedes PHP-suEXEC-System eineso klaffende Lücke hat...

Ich habe bereits Apache 1.3 und erfolglos versucht und bin über jedenTipp dankbar!

Flo

Reply to:

Follow-Ups:
- Re: PHP als CGI: Denial of Service-Angriff?
  - From: Dirk Salva <dsalva@nutrimatic.ping.de>

Prev by Date: Re: Wieso nutzt niemand... (was: Konqueror kann kein html ?!)
Next by Date: Re: Wo gibt es die mbox Archive zur debian mailing liste?
Previous by thread: Re: Java: Problem mit Webchat
Next by thread: Re: PHP als CGI: Denial of Service-Angriff?
Index(es):
- Date
- Thread