hallo..

wie der titel schon sagt hab ich ein problem bei meinem apache server.
es passiert das abundzu mal irgendwer etwas über den webserver in das /tmp verz ablegt und dies dann ausführt.

meistens sind es perl scripte die unter dem user wwwrun laufen und die inet leitung zu machen..

ich verwende den 2.0.54 apache und php 4.3.11.
die php.ini hab ich bis auf die register globals auf standardwerten.

es laufen natürlich iptalbes drauf und es sind nur diese ports offen:
21,22,80,443

woran kann das liegen und wie kann ich meinen webserver so absichern das so sachen nicht mehr vorkommen?

Hast du vielleicht irgendwelche cgi/php script auf dem Server laufen, die das uploaden ermöglichen? Hast du mal die entsprechenden Logdateien geprüft? Du könntest z.B. dir mal das Dateidatum der hochgeladenen Script angucken in dir den zugehörigen Eintrag aus den Logdateien raussuchen um einen Anhaltspunkt zu erhalten, wie eingebrochen werden konnte bzw. welches Script das zuläßt.
Ansonsten bitte es sich an, /tmp (oder ein anderes als upload-dir dienende Verzeichnis, siehe upload_tmp_dir in php.ini) mittels noexec,nosuid zu mounten und so zumindest das ausführen zu unterbinden.

Lies bitte diesen Artikel: http://www.linux-magazin.de/Artikel/ausgabe/2004/10/php/php.html

ach ja - und ich würde Dir noch einen Testlauf von chkrootkit und rkhunter und ähnlichem empfehlen...

Ah, danke für den Link, Tomek. Sehr schöner Artikel.