Default-Einstellung „allow_url_fopen“ (PHP)
Default-Einstellung „allow_url_fopen“ (PHP)
Es kam wieder zu einem Hackeinbruch auf einem Webauftritt, der mit Hilfe der PHP-Funktion fopen() erfolgte.
Mit fopen() kann man bekanntlicherwiese nicht nur lokale Dateien öffnen sondern auch Seiten die über Webadressen erreichbar sind.
Wenn ein Webmaster unerfahren oder schlampig programmierte Skripten nutzt, ist es möglich, die zu öffnende „Datei“ zu modifizieren und somit eine andere anzugeben.
Durch die Default-Einstellung „allow_url_fopen“ wird dabei das „Feature“ geboten, daß es geladenen Texte die nicht nur als lokalen Dateien, sondern auch von Webadressen geladen wurden, wieder mit PHP interpretiert.
Somit ist es möglich, fremde Skripten auf den eigenen Webauftritt ausführen zu lassen. Echten Hackern und Kiddies stehen hierzu bereits manigfaltige Tools zur verfügung, die es dann erleichtern, nette Dinge zu tun. Alles was man tun braucht, ist dafür zu sorgen, daß as Tool geladen wird.
Zum Beispiel c99Shell:
Um dieses Problem zu umgehen haben wir uns entschlossen, „allow_url_fopen“ über die php.ini zunächst wieder abzuschalten.
Da es jedoch oft berechtigte Gründe gibt, daß man es doch benötigt, ist dies kein Dogma: Wer es braucht und weiss was er/sie tut, kann es für seinen Webauftritt wieder freigeschaltet bekommen.
Es reicht eine Mail an Webmaster.