You are viewing a plain text version of this content. The canonical link for it is here.

Posted to users-de@httpd.apache.org by Florian Effenberger <fl...@effenberger.org> on 2004/09/29 09:48:33 UTC

PHP als CGI: Denial of Service-Angriff?

Hallo zusammen,

PHP, als CGI installiert, macht das System offen für einen Denial of
Service-Angriff, unabhängig davon ob es mitttels suPHP oder
suEXEC+binfmt eingebunden ist. Ein einfaches Skript wie

<? echo "Hello world"; ?>

kann bereits einen Server zum Absturz bringen, sofern jemand die Adresse
in einem Browser öffnet und den Reload-Button mehrere Sekunden lang
betätigt. Ich hab bereits die RMax-Direktiven in der httpd.conf
probiert, ebenso das memory limit in php.ini - beides brachte nichts.
Ich vermute, es werden so viele Prozesse gespawned, dass das System
schlichtweg die Kontrolle verliert. Meinen Load bekomme ich bis hin zu
91 hoch, die Platte swappt dann 30 Minuten. Wenn ich Pech habe ist die
ganze Kiste tot und der Kernel hängt sich mit Out of memory weg.

Mir fällt nur noch ein, cgiwrap zu testen, um den Speicher zu
limitieren, ansonsten bin ich relativ hilflos. Hat jemand eine Idee, was
man tun könnte? Es kann ja nicht sein, dass jedes PHP-suEXEC-System eine
so klaffende Lücke hat...

Ich habe bereits Apache 1.3 und 2.0 erfolglos versucht und bin über jeden
Tipp dankbar!

Flo

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------

Re: PHP als CGI: Denial of Service-Angriff?

Posted by Florian Effenberger <fl...@arcor.de>.

Hi Daniel,

> Prozessanzahl, CPU-Zeit und RAM begrenzen.  Das laesst sich mit cgiwrap
> gut erledigen.

Okay, dann werde ich cgiwrap wirklich mal probieren.

Danke
Flo

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------

Re: PHP als CGI: Denial of Service-Angriff?

Posted by Daniel Bradler <da...@bradler.com>.

On Wed, 29 Sep 2004, Florian Effenberger wrote:

> Mir fällt nur noch ein, cgiwrap zu testen, um den Speicher zu
> limitieren, ansonsten bin ich relativ hilflos. Hat jemand eine Idee, was
> man tun könnte? Es kann ja nicht sein, dass jedes PHP-suEXEC-System eine
> so klaffende Lücke hat...

Prozessanzahl, CPU-Zeit und RAM begrenzen.  Das laesst sich mit cgiwrap
gut erledigen.

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------