URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID8
Нить номер: 1011
[ Назад ]

Исходное сообщение
"Apache 1.3.27 проблема безопастноти"

Отправлено Deer , 13-Янв-03 16:04 
Народ!
Нехорошие ребята проламывают 80 порт (на котором висит apache 1.3.27).
В каталог /tmp закачивают irc сервак (psybnc) и запускают его.
Если кто-то сталкивался с такой проблемой отзовитесь!!!
Особенно те кто ее решил.
В двух словах как это происхоит:
Ломание начианется с запроса
HEAD / HTTP/1.1
Host: blalalalalalala.com

Затем идет сария запросов по 177 байт их 10 штук

POST /index.php HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
Referer: http://blalalalalalaa.com/index.html
Accept-Language: de,en-us;q=0.5
Content-Type: multipart/form-data; boundary=-------------------------76931fac9dab2
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)
Host: blalalalalala.com
Content-Length: 177
Connection: Keep-Alive
Cache-Control: no-cache

---------------------------76931fac9dab2
Content-Disposition: form-data; name="a" filename="b"
Content-Type:

После чего идет видимо решающий запрос:

POST /index.php HTTP/1.1M
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*M
Referer: http://blalalalalalala.com/index.phpM
Accept-Language: de,en-us;q=0.5M
Content-Type: multipart/form-data; boundary=hUM
Accept-Encoding: gzip, deflateM
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)M
Host: blalaalalalalalaaa.comM
Content-Length: ?????M
Connection: Keep-AliveM
Cache-Control: no-cacheM

И тут много мусора

Серия запросов по 10 и последний как бы решающий  
повторяется произвольное количество раз так как не всегда
получается взломать с первого раза.
Видимо идет какой-то подбор.

Братья! Помогите!!!


Содержание

Сообщения в этом обсуждении
"RE: Apache 1.3.27 проблема безопастноти"
Отправлено uldus , 14-Янв-03 11:22 
>Нехорошие ребята проламывают 80 порт (на котором висит apache 1.3.27).
>В каталог /tmp закачивают irc сервак (psybnc) и запускают его.

Какие модули используются в apache (с версиями) ?

Саоме вероятное:
- Пролом через типовой CGI скрипт, судя по запросу index.php пооже что сломали какой то типовой php поект, index.php писали сами ? Если нет, но нужно абгрейдить используемые скрипты.
- Пролом через mod_ssl, нужно проабгрейдить OpenSSL на машине.
- Серез старый mod_php.


"RE: Apache 1.3.27 проблема безопастноти"
Отправлено Mephisto , 16-Янв-03 16:51 
>>Нехорошие ребята проламывают 80 порт (на котором висит apache 1.3.27).
>>В каталог /tmp закачивают irc сервак (psybnc) и запускают его.

а под каким юзером работает apache?


"RE: Apache 1.3.27 проблема безопастноти"
Отправлено al1gpl0xa , 24-Янв-03 06:36 
ты это, поставь файрволл на сервак, например, AtGuard, не важно какая версия апача, без файрволла не спастись