phpbar.de logo

Mailinglisten-Archive

[php] PHP als CGI: Denial of Service-Angriff?

[php] PHP als CGI: Denial of Service-Angriff?

Florian Effenberger floeff at arcor.de
Die Sep 28 20:44:39 CEST 2004


Hallo zusammen,

PHP, als CGI installiert, macht das System offen für einen Denial of 
Service-Angriff, unabhängig davon ob es mitttels suPHP oder 
suEXEC+binfmt eingebunden ist. Ein einfaches Skript wie

<? echo "Hello world"; ?>

kann bereits einen Server zum Absturz bringen, sofern jemand die Adresse 
in einem Browser öffnet und den Reload-Button mehrere Sekunden lang 
betätigt. Ich hab bereits die RMax-Direktiven in der httpd.conf 
probiert, ebenso das memory limit in php.ini - beides brachte nichts. 
Ich vermute, es werden so viele Prozesse gespawned, dass das System 
schlichtweg die Kontrolle verliert. Meinen Load bekomme ich bis hin zu 
91 hoch, die Platte swappt dann 30 Minuten. Wenn ich Pech habe ist die 
ganze Kiste tot und der Kernel hängt sich mit Out of memory weg.

Mir fällt nur noch ein, cgiwrap zu testen, um den Speicher zu 
limitieren, ansonsten bin ich relativ hilflos. Hat jemand eine Idee, was 
man tun könnte? Es kann ja nicht sein, dass jedes PHP-suEXEC-System eine 
so klaffende Lücke hat...

Ich habe bereits Apache 1.3 und erfolglos versucht und bin über jeden 
Tipp dankbar!

Flo

php::bar PHP Wiki   -   Listenarchive