Hi!
On 21-Oct-99 Stanislav Malyshev a.k.a Frodo wrote:
>>> Извиняйте за аттач, но это файлы из каталога усера, что пытался
>>> (успешно) атаковать наш www-сервер. Суть атаки там простая -
>>> программа на php через fsockopen() открывает на этом же сервере
>>> коннект и вызывает еще парочку таких итп... Все было бы ничего - я
>>> поставил заплату против этого. Кстати, можно ли как-то радикально
>>> избежать таких атак? Я сделал на mod_rewrite ;-) примочку.
>
> Вообще, единственный реальный метод против local DOS - userdel (на
> некоторых системах - rmuser). Потому как следующий раз он вам там запустит
> свежий local root exploit или fork bomb и вы будете иметь геморроя на весь
> LAN. Или по меньшей мере у юзера отбираются все права на executable
> content - включая PHP, SSI, CGI, whatever.
Это так. Но там хацкер под чужим логином (тыреным) ковырялся.
>>> Как видно из текста программы - она читает переменные $USER и $PASS
>>> и если там что-то есть - шлет письмо хацкеру с логином и паролем. Но
>>> в environmente НЕ ДОЛЖНО быть этих переменных! Судя по файлу last из
>>> приложения там что-то все же было! Вот мне и интересно - чья же это
>>> дыра? Apache? Apache/rus? PHP? Мммм?
> $USER и $PASS - не знаю откуда... Если он там и есть, то это юзер апача, а
> не авторизация с HTTP, которая $REMOTE_USER. А у PHP переменные называются
> PHP_AUTH_USER и PHP_AUTH_PW, см. доку на PHP3 features.
Я это знаю. Я тебе говорю ФАКТ, что такой експлоит получает в тех переменных
какие-то логины пароли.
SKiller
--------------------------
Sergei Keler
WebMaster of "ComSet"
E-Mail: skiller@comset.net
--------------------------
=============================================================================
= Apache-Talk@lists.lexa.ru mailing list =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
= Archive avaliable at =
