Laut Debian -- Ergebnisse der Debian-Paketsuche -- squeeze sind deine beiden eingesetzten Versionen aktuell. Hm, schwierig. Es muss auf jeden fall etwas sein das unter modphp läuft/lief und dort war/ist die Lücke.
Zumindest bist du nun mit dem auf diese Art eingebundenen tmp Verzeichnis davor geschützt, dass aus tmp heraus etwas "unkoscheres" von dort gestartet wird. Die laufenden Prozesse hast Du hoffe ich gekickt. Und nicht vergessen das ganze rebootfest zu machen mit einem Eintrag in der /etc/fstab.
Gruß Sven
Du solltest auch überlegen mal ISPConfig zu aktualisieren. Mir ist zwar keine Sicherheitslücke in ISPConfig bekannt die dafür verantwortlich sein könnte, aber es ist nie gut alte Versionen einzusetzen, außer Du hast einen Bestimmten Grund wie z.B. größere eigene Codeanpassungen, dass du nicht updaten kannst. Und in den aktuellen ISPConfig Versionen läuft das ispconfig interface auch per fcgi php unter dem user ispconfig und nicht mehr mit mod_php, so dass wir dann einen weiteren Dienst der unter www-data läuft ausschließen können.
Welches update? Ispconfig / Debian oder einfach pauschal?Größere Code-Anpassungen hätte ich nicht!
Gibt es für so ein Update ein HowTo??
Größere Code-Anpassungen hätte ich nicht!
Gibt es für so ein Update ein HowTo??
Hmm, zu dotdeb kenne ich die verwundbaren versionen leider nicht, aber soweit ich weiß wurde die php cgi Lücke erst im August gefixt, Dein Build ist aber jan 2012. Daher kann es guts ein dass die über die php cgi Lücke rein kommen.
Mach mal bitte folgendes:
mkdir /home/backup
mv /usr/lib/cgi-bin/php* /home/backup/
denn ich glaube das php cgi dort wird nicht für die Webseiten benötigt. Wenn dann Deine Webseiten noch gehen, dann lass es erstmal so. Du musst dann auch nicht ispconfig updaten da es wahrscheinlich ist dass es an der alten php cgi Version liegt.
Für Deine Webseiten würde ich generell dazu raten php-fcgi + suexec statt suphp zu nehmen. Ist schneller und auch nicht anfällig für die php cgi Lücke.
okay danke!Steht immer in den release notes. Du musst normalerweise nur:
ispconfig_update.sh
ausführen. ABER da Du das so lange nicht gemacht hast, sind da unter Umständen zu viele Versionen überspringen. Lade also lieber die ISPConfig 3.0.4.6 von sourceforge runter, entpacke sie und rufe
php update.php
im Install Verzeichnis auf. danach kannst Du normal mit ispconfig_update.sh von 3.0.4.6 auf 3.0.5.3 aktualisieren.
Versuch aber bitte erst mal das mit dem php verschieben und lass das update. Nicht dass wir noch mehr Baustellen aufmachen.
Was sagt lsof zu der PID 9569 des perl Prozesses, was hat der so geöffnet.
Welches update? Ispconfig / Debian oder einfach pauschal?
/home/backup/php5
Ja, es ist das php cgi problem mit der veralteten PHP Version. Durch das Verschieben nach /home(backup während der prozess noch lief haben wir den sozusagen mit "umgebogen" und daher verweist er jetzt auf /home/backup.
Kill den prozess mal mit:
kill -9 9569
Das sieht ok aus, unter www-data nur apache Prozesse und die php-cgi's unter den jeweiligen web usern.
In allen Webseiten im ispconfig habe ich mal nur SuPHP aktiviert (ist das richtig ?)
Besser wäre php-fcg und suexec zusammen zu aktivieren. denn suphp verwendet ja auch das php cgi binary, wodurch es sein kann dass man dann deine Webseiten angreift. php-fcgi ist von dem Problem nicht betroffen und man sollte es auch nehmen da es schneller ist.
Wir verwenden essentielle Cookies, damit diese Website funktioniert, und optionale Cookies, um den Komfort bei der Nutzung zu verbessern.
Siehe weitere Informationen und konfiguriere deine Einstellungen