Vulnerabilità Server

[angykiss]

Abbiamo un software PHP, hostato su un server dedicato presso una ditta che offre esclusivamente servizi di hosting.
Ci hanno appena comunicato che hanno necessità di mettere PHP in safe mode (e tenercelo per sempre, come già fanno con gli hosting su server condiviso) perchè questo weekend è stato inserito sul server un trojan (pscan2, dicono) nella cartella var/tmp, sfruttando una vulnerabilità del software. Di più non sanno dire. Dicono di cercare dov'è, questa vulnerabilità, ma non danno indizi.
Io non ho la più pallida idea di cosa cercare, qualcuno può darmi qualche indizio?
L'unica cosa che posso immaginare è che in una pagina noi permettiamo (dopo aver eseguito il login) di uploadare files sul server. Però a questo punto mi chiedo: un server dedicato adibito ad hosting non dovrebbe avere un antivirus? Insomma, le form di upload di file sono più che usate, possibile che tutti abbiano questi problemi?

[angykiss]

Nessuno ne sa niente?

[daniele_dll]

se avete un server dedicato:
- ditegli di lasciare il tutto senza safe_mode ... dato che il server è vostro
- ditegli di controllare il magic_quote_gpc, perché è importante che sia attivo
- è probabile che il software che vi hanno bucato sia un software conosciuto e non vostro (phpbb, phpnuke, invision board, xoops e cosi via)
- se usi SOLO software proprietari, non derivati da altri pubblici, puoi solamente verificarti tutti i dati che entrano in input per ogni pagina

[activ]

ditegli di lasciare il tutto senza safe_mode

perchè consigli questo?

[daniele_dll]

il safe_mode è relativamente utile in un ambiente condiviso, però in un ambiente proprio causa parecchi problemi a parecchie applicazioni: considera che da php6 addirittura sparirà perché son più i danni che altro!

è molto meglio mettere php con la patch suhoshin

[H5N1_Aviaria]

Per poter fare un'analisi dei rischi sarebbe necessario avere un minimo di informazioni:
- versione di PHP (4 o 5 non è sufficiente, anche le subversion sono da specificare)
- sistema operativo del server e versione
- applicazioni caricate e versioni

Oltretutto sono d'accordo con daniele_dll quando afferma che probabilmente la vulnerabilità è da ricercarsi altrove.
Se l'azienda che vi offre il servizio ha deciso di modificare qualche funzionalità del servizio offerto (come in questo caso) bisogna dare un'occhiata al contratto e verificare a che condizioni può farlo.
E' tuttavia sempre lecito richiedere, da parte vostra, una motivazione scritta e l'analisi effettuata che ha portato a tale decisione. In mancanza, difatti, di dati oggettivi trovo molto poco professionale una decisione del genere.

[activ]

causa parecchi problemi a parecchie applicazioni

che tipo di problemi?

grazie

[alcio74]

Oltre a tutti questi suggerimenti, perché non provate a testare gli script presenti nel vostro sito grazie ai consigli che potete trovare nell'utilissima Guida Sicurezza in PHP presente in questo sito???