Unglaublich...aus forensischen Gründen (Fehleranalyse offline)!
Zuviel CSI geschaut?
Was soll denn ein Laie mit diesem Backup anstellen? Für ihn bringt dies NIX! Und wenn überhaupt, dann nur die conf und die log Dateien.
... ob php genau so kritisch ist wie andere sprachen, da auf seinem server definitiv php läuft.
Was für ein Quatsch...da auf diesem Server sicherlich auch CGI, Perl, SSI oder ASP läuft! Es geht um deine Verallgemeinerungen die haltlos sind.
Nur nen Tipp: mit Perl kann man viel mehr anstellen
mit restriktive php-config meine ich wenigstens ein eingehendes befassen mit der php.ini
stichworte wären hier z.b. allow_url_fopen, allow_url_include, disable_functions, open_basedir, register_globals, safe_mode etc.
An dieser Aussage merkt man ganz deutlich, dass dein Wissen einfach aus einer Zeit vor PHP 5.1 stammt. Mal davon abgesehen das ein Laie, der ein Server mietet schon einen Standard vorkonfigurierten Server bekommt und solch Einstellungen nicht mehr vornehmen muss. Des weiteren sind register_globals und safe_mode Dinge der Vergangenheit die mit Ver6 vollständig verschwunden sind und allow_url_fopen + allow_url_include sind Einstellungen welche ich nicht missen möchte.
Welche Funktionen würdest du denn disablen, eval? lol
...threadstarter? PHP unterstützt gar keine Threads. Der Vergleich hinkt, eher User oder Clients.
ssl THEMENBEZOGEN, was sonst? d.h. aktiviertes apache-ssl-modul. in diesem fall hat der apache sehr wohl etwas mit ssl zu tun. ebenso muss bei der shopeinrichtigung ssl berücksichtigt werden.
Ok dann zum Thema: mod_ssl ist standardmäßig im Apache 2 aktiviert, viel wichtiger ist dabei ein gültiges Zertifikat.
wenn nicht, loggt sich auch der admin unverschlüsselt ein.
Auch in Bezug auf FTP sind deine Informationen nur zum teil richtig und man merkt wie wenig du die Materie verinnerlicht hast, denn sonst wüsstest du, dass SFTP nicht die momentan beste alternative ist! Denn SFTP verschlüsselt nämlich nur einen Teil des FTP-Protokolls, den Steuerkanal...sonst wäre in diesem Zusammenhang Secure FTP (Basis SCP) oder FTPS (Basis TSL/SSL) zu nehmen.
nach deiner methode (wiederherstellen eines backups), würdest du genau den fehlerhaften zustand wie VOR dem hack herstellen, welcher zu den entsprechenden ereignissen führte - ohne zu wissen WO der betreffende fehler liegt.
streng fahrlässig
???
Wenn man davon ausgeht, dass dieser Server bei einem vertrauenswürdigen Provider steht, wäre Restore - Passwörter wechseln - Provider informieren unter gewissen Voraussetzungen eine schnelle Möglichkeit den Urzustand wieder herzustellen.
Außerdem auf Prob. von similar bezogen stellt sich die Frage, ob der private PC oder der Server befallen ist, denn dies sind Windows-Meldungen. Vorstellbar wäre durchaus, dass vom privaten Rechner aus die Passwörter ausgespäht wurden und der Server nicht einem Hack, sondern der Tatsache der Bekanntgabe der Passwörter zum Opfer gefallen ist.