PHP-Seiten vor angriffen schützen

Tag zusammen. hoffe man kann mir hier weiterhelfen...

eine PHP-Seite von meinen Kollegen wurde gestern schon zum 2. mal gehackt...

machen zwar immer ordentlich backups und die seite steht auch nach ner halben stunde arbeit wieder aber gibt es nicht eine möglichkeite die PHP-Seite vor solchen angriffen zu schützen?

wenn ja welche und wie macht man das?

oder bleibt nichts anderes übrig als jedes mal das backup zu laden und alles manuel wieder herzurichten?

Du musst wahrscheinlich den php Code umbauen, dass der Besucher weniger Rechte hat.

Ist das was Fertiges oder selbst geschrieben? Für phpBB gibt's z.B. fertige Lösungen (CBack Orion mit CTracker).

ist php4 sobald ich weiß... aber alles selber geschrieben.. also keine vorlage

Schau dir das hier mal an (oder schick den Link an deinen Kollegen weiter), ist ne Standalone-Version von CrackerTracker! Vielleicht hilft das ja weiter.

alles klar danke..... denke das wird uns etwas weiterhelfen

thema kann geschlossen werden

Sorry, aber dieser StA CTrack ist ja ein schlechter Scherz... 90% der vermeintlichen "Anzeichen" lassen sich mit einfachsten Mitteln aushebeln, das ganze geht eher in Richtung security through obscurity
Wenn PHP-Skripte kompromittiert werden, liegt in nahezu allen Fällen schlicht fehlerhafter Code vor, und diesen gerade zu biegen gelingt in den meisten Fällen nur durch einen kompletten Rewrite. Klassische Fehler sind nicht validierte Importe von Daten aus nicht vertrauenswürdigen Quellen, allen voran die Parameter, die über GET, POST und Cookies eingelesen werden. Die üblichen Fehler sind u.a.

• Zugriff auf globals bei aktiviertem register_globals
• 1:1 Übernahme von importierten Werten in SQL Statements
• 1:1 Übernahme von importierten Werten als Funktionsparameter
• Fehlende Initialisierung von Variablen
• Ungefilterte Ausgabe von importierten Variablen
• etc.

Beim D-Punkt-Verlag ist das Buch "PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren" von den Autoren Christopher Kunz, Peter Prochaska und Stefan Esser erschienen, ich kenne zwar nur den ersten Band flüchtig und er wies einige Fehler auf, das zweite Band sollte aber durch Stefan Esser als Co-Autor an Qualität zugelegt haben. Esser ist bekannt als Autor des Projekts hardened-PHP und hat in der Vergangenheit zahlreiche Advisories rund um PHP und PHP-Applikationen veröffentlicht, durch seine Arbeit als Application Auditor kennt er zudem die gängigen Programmierfehler im PHP-Umfeld. Wenn dein Kumpel also Ruhe vor den Störern haben will, sollte er sich das o.g. Buch zu Gemüte führen, der klassische Weg über das Erlenen der Programmierung würde wesentlich mehr Zeit in Anspruch nehmen

greetings, Keita