Vor einigen Tagen wurde mein Root-Server vom Provider gesperrt und vom Netz genommen. Zunächst hing ich in der Luft, hatte keine Ahnung zum weshalb und wieso und war verärgert über die kommentarlose Abschaltung. Dann stellt sich heraus: dank der Sperrung durch Strato wurde ich vor einem finanziellen Desaster bewahrt. Bei einer Analyse des Datenaufkommens ergibt sich ein plötzlicher Verkehr von fast 2 Tb innerhalb einer Woche. Von mir unbemerkt geblieben: bereits einen Monat zuvor Vollauslast über 2 Tage mit 800 Gb Transfer. Der Großteil ist dabei ausgehend (outgoing). Zum Vergleich: normalerweise komme ich über einen zweistelligen Gb-Verbrauch im Monat nicht hinaus.

Ein Anruf beim (angenehm schnellen und kompetenten) Service bestätigt dann die Vermutung. Denial-of-Service-Angriffe von meinem Server aus, möglicherweise durch eine DDoS-Programmeinschleusung über ein unsicheres PHP-Skript. Zugriff auf den Server via Login bestand nicht (nur ich kenne das 10-stellige Passwort und keine Brute-Force-Attacken). Der Server wird in einen Rettungsmodus versetzt um schädliche Skripte o.ä. entfernen zu können. Da ich kein Experte im Umgang mit der Linux-Remote-Console bin kann das erst mal dauern, zum Glück handelt es sich bei den gehosteten Seiten nur um Hobby-Projekte und nicht etwa einen Online-Shop.

Es ärgert mich ungeheurlich, daß ich die Unkosten für den überschüssigen Transfer (abgerechnet in Gb) selber tragen werden muss und der kriminelle Verursacher wohl unauffindbar bleiben wird.

Soweit die Vorgeschichte. Jetzt meine Frage zur Sicherheit von PHP. Wie ist es überhaupt möglich ein DDoS-Programm auf den Server einzuschleusen? Es ist zwar möglich über PHP Shell-Befehle auszuführen, aber alle Skripte, soweit ich das überblicken kann, wurden von mir selbst dahingehend gekodet, daß html-entities, also das  Ausführen von Code über ein Eingabeformular, ausgeschlossen sind. Wie eine eingesetzte Foren-Software das handhabt weiß ich allerdings nicht.

Nehmen wir mal an es würde mit irgendeiner Sicherheitslücke gehen. Der Apache-User wwwrun wird doch wohl nicht eine DoS-Software auf dem Server installieren können?

1. Wie kann sowas geschehen, welche Sicherheitslücken gibt es um DoS-Programme einzuschleusen?
2. Wie kann ich den Schädling ausfindig machen damit der Server wieder online gehen kann, wo sollte ich suchen?
3. Wie kann ich sowas in Zukunft verhindern?
4. Wie realistisch ist es den Urheber in so einem Fall herauszufinden (zwecks Strafanzeige und Einklagung der Unkosten)?
Für jeden Hinweis bin ich wirklich sehr dankbar.