URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID8
Нить номер: 1011
[ Назад ]

Исходное сообщение
"Apache 1.3.27 проблема безопастноти"
Отправлено Deer , 13-Янв-03 16:04

Народ!
Нехорошие ребята проламывают 80 порт (на котором висит apache 1.3.27).
В каталог /tmp закачивают irc сервак (psybnc) и запускают его.
Если кто-то сталкивался с такой проблемой отзовитесь!!!
Особенно те кто ее решил.
В двух словах как это происхоит:
Ломание начианется с запроса
HEAD / HTTP/1.1
Host: blalalalalalala.com
Затем идет сария запросов по 177 байт их 10 штук
POST /index.php HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
Referer: http://blalalalalalaa.com/index.html
Accept-Language: de,en-us;q=0.5
Content-Type: multipart/form-data; boundary=-------------------------76931fac9dab2
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)
Host: blalalalalala.com
Content-Length: 177
Connection: Keep-Alive
Cache-Control: no-cache
---------------------------76931fac9dab2
Content-Disposition: form-data; name="a" filename="b"
Content-Type:
После чего идет видимо решающий запрос:
POST /index.php HTTP/1.1M
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*M
Referer: http://blalalalalalala.com/index.phpM
Accept-Language: de,en-us;q=0.5M
Content-Type: multipart/form-data; boundary=hUM
Accept-Encoding: gzip, deflateM
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)M
Host: blalaalalalalalaaa.comM
Content-Length: ?????M
Connection: Keep-AliveM
Cache-Control: no-cacheM

И тут много мусора
Серия запросов по 10 и последний как бы решающий
повторяется произвольное количество раз так как не всегда
получается взломать с первого раза.
Видимо идет какой-то подбор.
Братья! Помогите!!!

Содержание

RE: Apache 1.3.27 проблема безопастноти,uldus, 11:22 , 14-Янв-03
- RE: Apache 1.3.27 проблема безопастноти,Mephisto, 16:51 , 16-Янв-03
RE: Apache 1.3.27 проблема безопастноти,al1gpl0xa, 06:36 , 24-Янв-03

Сообщения в этом обсуждении

"RE: Apache 1.3.27 проблема безопастноти"
Отправлено uldus , 14-Янв-03 11:22

>Нехорошие ребята проламывают 80 порт (на котором висит apache 1.3.27).
>В каталог /tmp закачивают irc сервак (psybnc) и запускают его.
Какие модули используются в apache (с версиями) ?
Саоме вероятное:
- Пролом через типовой CGI скрипт, судя по запросу index.php пооже что сломали какой то типовой php поект, index.php писали сами ? Если нет, но нужно абгрейдить используемые скрипты.
- Пролом через mod_ssl, нужно проабгрейдить OpenSSL на машине.
- Серез старый mod_php.

"RE: Apache 1.3.27 проблема безопастноти"
Отправлено Mephisto , 16-Янв-03 16:51

>>Нехорошие ребята проламывают 80 порт (на котором висит apache 1.3.27).
>>В каталог /tmp закачивают irc сервак (psybnc) и запускают его.
а под каким юзером работает apache?

"RE: Apache 1.3.27 проблема безопастноти"
Отправлено al1gpl0xa , 24-Янв-03 06:36

ты это, поставь файрволл на сервак, например, AtGuard, не важно какая версия апача, без файрволла не спастись