Hallo,

Und das soll dann der Grund dafür sein, dass jemand "ungewollt" und "unerlaubt" auf dem Server einen anderen Webserver installieren kann, der dann anstelle des ursprünglich dafür vorgesehenen läuft???

dort muss schon ein Mehr an Fehlkonfiguration vorgelegen haben. Wie Johannes und Martin schon kurz angerissen haben, sind in der Regel schlechte PHP-Scripte für das Einschleusen fremden Codes verantwortlich. Das ist i. d. R. ärgerlich und führt schlimmstens (nur) zum kompletten Datenverlust bzw. zur Ausspähung von Daten oder Traffickosten. Auch der Webserverausfall lässt sich so erklären. Mit einem PHP-Script kann ein Angreifer diesen durch Virtualanfragen, Rekursionsschleifen und Kindprozesspeicherüberschreitungen faktisch lahmlegen. Der Dienst ist dann nicht mehr in der Lage Anfragen entgegen zu nehmen.

Jedoch kann so kein eigener Webserver eingerichtet werden. Das ist nur damit zu erklären, dass PHP/Perl/Python... andere Programme ausführen kann. Für PHP sollten durch die Konfiguration disable_functions Funktionen wie exec, passthru, popen, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec und system deaktiviert werden! Für Perl und Python (vermutlich auch) sieht es da erheblich schwieriger aus.
 Hat eingeschleuster Code Möglichkeiten durch PHP Programme einzubinden, ist es kein Problem Binäre von Schadsoftware hochzuladen und auszuführen. Man darf davon ausgehen, dass diese eigene Exploide nutzen, um root-Rechte zu erlangen. Sind die Dienste nicht in einer Chroot-Umgebung isoliert, also Shell- und Systemaufrufe laufen leer, bzw. laufen in einer Virtualmaschine, hat ab diesen Punkt der Angreifer ein kostenlos zur Verfügung gestellten Server mit Rootrechten für die nächsten Stunden.

Also ich bin ja leider auch kein Profi oder Fachmann auf dem Gebiet, aber das scheint mir dann doch ein bischen weit hergeholt.

Das wichtige Moment daran ist, dass es bei solchen, seit Jahren gängigen Angriffen keiner Schwachstellen in den Diensten wie Apache oder CGI-Handler bedarf. Es bedarf nur noch einer Schwachstelle in den ausgeführten Scripten. Das Damoklesschwert hängt somit über den Webanwendungsschreiber bei administrativen Fehlern. Diese Verschiebung des Risikos macht das scheinbar Weithergeholte leider seit Jahren zu Realität.

Viel eher könnte ich mir da einen gehackten FTP-Account vorstellen, der vollen Zugang zum System bietet.

Gerade das ist aber der unwahrscheinlichste Fall. Es ist wirklich grob fahrlässig root-Rechte per Anmeldung durch einen FTP-Server zu ermöglichen. Aber auch dann, wenn ein System so fehlkonfiguriert wurde, bedarf es weiterer Fehlkonfigurationen (eigentlich die selben wie oben), da FTP-Dienste Programmausführung von sich aus nicht unterstützen.

Überhaupt erhält man hier im Forum zu solchen Fragen meist, wenn überhaupt, immer diese Standard Antworten, die zwar einerseits ja durchaus richtig und somit auch berechtigt sind, aber meistens eben nicht des Pudels Kern treffen. Und sobald es auch nur etwas tiefer in die Materie geht, kommt dann der sehr hilfreiche Verweis auf die Managed-Variante!

Ja, das ist leider wahr. Auch ChrisB hat sich hier mal wieder nicht mit Ruhm bekleckert. Springt er doch nur in die hier seit Jahren geschlagene Bresche "du bist zu doof, also überlasse es Profis". Zudem habe ich auch schon sehr schlechte Erfahrungen mit managed servern gesammelt, die zwar an sich sicher waren, jedoch das Risiko an den Webanwendungsschreiber durchreichten, veraltete und unflexibel konfigurierte Software einsetzten.

Andererseits ist der Aufwand einen eigenen Server abzusichern eine so komplexes Angelegenheit - eine Beziehung oder Kinderkriegen steht dem gleich. Es ist daher auch ein Fingerzeig auf das Essenzielle, wenn man hier jemanden zu einem managed server rät, seine Kompetenzen voll für das Entwickeln von Anwendungen zu konzentrieren und sich nicht in den Weiten administrativer Aufgaben zu zerstreuen. Vor dem Hintergrund des benötigten Wissens verstehe ich andererseits die Basis dieses Standpunktes, keine Auswege zu präsentieren, bei Ablehnung der rüpelhaften Art und Weise, andere als dumm hinzustellen.

Diese umfasst aber i.d.R. keineswegs mehr, als man als halbwegs informierter Laie nicht auch selber problemlos leisten könnte. Und meistens setzt sie dann auch noch eine Standard Installation voraus, weil sie ansonsten sehr schnell unbezahlbar wird. Aber genau diese Art der Installation will man ja nicht unbedingt haben, denn u.a. ist diese dann auch am leichtesten zu hacken.

Wird das Risiko an den Webanwendungsentwickler durchgereicht, ist dem zuzustimmen. Es ist nur eben die Frage, was aus diesem Gedankenexperiment an Schlüssen zu ziehen ist. Rechtfertigt es die Parole "root server für jeden"? Ich sehe das gespalten.
 In den letzten Jahren ist mir hier bei Fragen immer wieder aufgefallen, wie wenige tatsächlich (noch) Software aus den sourcen mit configure und make erstellen können. Dagegen stellst Du aber eine Standardinstallation. Alleine, um beim Beispiel PHP zu bleiben, dazu richtige Erstellen der gdlib-Erwiterung verlangt viel Erfahrung genauso wie (My)SQL-Erweiterungen - ganz zu schweigen vom aufsetzen der Datenbanken, SMTP-, FTP-, SSH-Dienste. Bleichers Vergleich trifft es unfehlbar.

So einfach ist es also weder in der Praxis noch im Fingerzeig Deiner Aussage.

Mein persönliches Fazit:
Server-Sicherheit muss viel einfacher werden! Daraus eine Geschichte zu machen, die nur noch von studierten Fachleuten zu erreichen, bzw. beizubehalten ist, ist mehr als "grob fahrlässig"!
Wenn ich ein neues Auto kaufe, muss ich ja auch nicht erst mal kontrollieren, ob alle Radmuttern richtig angezogen sind, oder die Benzinleitungen alle dicht sind!

Serversicherheit ist so einfach, das man dafür faktisch keine diplomierten Informatiker verschwendet. Die sind besser dafür eingesetzt, die entsprechenden Anwendungen/Dienste/Programme zu erstellen, die andere zu warten haben. Aus diesem Fakt ergibt sich aber dennoch nicht diese/Deine These. Wir reden hier über Linux - freie Software. Alles ist beschreiben. Es will nur gelesen werden. Deine Parole schreibt Faulheit als anzustrebenden Grundsatz aus.

Gruß aus Berlin!
eddi