/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Rettigheder på webserver
Fra : Morten P


Dato : 31-08-10 21:14

Nå, min webserver har så fået uploadet en masse biblioteker a la 'betty1994'
og 'porn2023' osv.

Jeg gætter på der er nogen der har fundet en metode til at udnytte en rwx
indstilling på en mappe til det.

Men hvordan gør de?

Der er jo mapper der har www-data:www-data 755 (upload mapper bl.a.) som jeg
jo ikke helt kommer udenom.

Der er ikke nogen public forms med upload, så jeg kan ikke gennemskue
hvordan data er kommet ind.

Nogen bud?



 
 
Adam Sjøgren (31-08-2010)
Kommentar
Fra : Adam Sjøgren


Dato : 31-08-10 22:05

On Tue, 31 Aug 2010 22:14:26 +0200, Morten wrote:

> Der er ikke nogen public forms med upload, så jeg kan ikke gennemskue
> hvordan data er kommet ind.

> Nogen bud?

De har "hacket" og/eller script-kiddie't din maskine?

Har du PHP installeret? Nogle af de PHP-applikationer som automatiserede
scripts normalt går efter?

Jeg ser forholdsvis ofte forsøg på at lokke evt. PHP-applikationer på
min webserver i fordærv (men har ikke PHP installeret, så de går
forgæves).


Mvh.

Adam

--
"Didn't matter to me what I said. Still doesn't, Adam Sjøgren
really." asjo@koldfront.dk

Keld Rosenkrantz (31-08-2010)
Kommentar
Fra : Keld Rosenkrantz


Dato : 31-08-10 22:13

On Tue, 31 Aug 2010 22:14:26 +0200, "Morten P" <spam@spam.spam> wrote:

>Nå, min webserver har så fået uploadet en masse biblioteker a la 'betty1994'
>og 'porn2023' osv.
>
>Jeg gætter på der er nogen der har fundet en metode til at udnytte en rwx
>indstilling på en mappe til det.
>
>Men hvordan gør de?
>
>Der er jo mapper der har www-data:www-data 755 (upload mapper bl.a.) som jeg
>jo ikke helt kommer udenom.
>
>Der er ikke nogen public forms med upload, så jeg kan ikke gennemskue
>hvordan data er kommet ind.
>
>Nogen bud?
>
Har du sammen lignet datoerne for fil oprettelse af mapperne med
apaches logfiler..
Du kan også kigge på mod_security og dens muligher for at debugge
f.eks POST
Måske har du et gammelt script installeret du helt har glemt
--
Keld Rosenkrantz
Få dit gratis webhotel på www.splinternet.dk
Selvfølgelig med fuld support samt flere
muligheder end du betaler for andre steder

Martin Larsen (31-08-2010)
Kommentar
Fra : Martin Larsen


Dato : 31-08-10 22:16

Morten P wrote:

> Nå, min webserver har så fået uploadet en masse biblioteker a la 'betty1994'
> og 'porn2023' osv.

Er det din helt egen webserver, eller er det et webhotel?

I sidstnævnte tilfælde kan det være dårlig sikkerhed på webhotellet, det
har jeg været udsat for på servage.net.

Martin

Keld Rosenkrantz (31-08-2010)
Kommentar
Fra : Keld Rosenkrantz


Dato : 31-08-10 22:18

On Tue, 31 Aug 2010 22:14:26 +0200, "Morten P" <spam@spam.spam> wrote:

>Nå, min webserver har så fået uploadet en masse biblioteker a la 'betty1994'
>og 'porn2023' osv.
>
>Jeg gætter på der er nogen der har fundet en metode til at udnytte en rwx
>indstilling på en mappe til det.
>
>Men hvordan gør de?
>
>Der er jo mapper der har www-data:www-data 755 (upload mapper bl.a.) som jeg
>jo ikke helt kommer udenom.
>
>Der er ikke nogen public forms med upload, så jeg kan ikke gennemskue
>hvordan data er kommet ind.
>
>Nogen bud?
>Hvis du er sikker på du ikke bruger POST nogen steder kunne du kigge på

http://httpd.apache.org/docs/2.0/mod/core.html#limit
--
Keld Rosenkrantz
Få dit gratis webhotel på www.splinternet.dk
Selvfølgelig med fuld support samt flere
muligheder end du betaler for andre steder

Martin Larsen (31-08-2010)
Kommentar
Fra : Martin Larsen


Dato : 31-08-10 22:34

Keld Rosenkrantz wrote:

>> Hvis du er sikker på du ikke bruger POST nogen steder kunne du kigge på
> http://httpd.apache.org/docs/2.0/mod/core.html#limit

Den metode har jeg brugt med fint resultat. Jeg har så udvidet den med
at det er tilladt for min egen IP at poste.

Martin

Morten P (01-09-2010)
Kommentar
Fra : Morten P


Dato : 01-09-10 06:50


"Martin Larsen" <martin+spamfree+larsen@bigfoot.com> wrote in message
news:4c7d7530$0$50447$14726298@news.sunsite.dk...
> Keld Rosenkrantz wrote:
>
>>> Hvis du er sikker på du ikke bruger POST nogen steder kunne du kigge på
>> http://httpd.apache.org/docs/2.0/mod/core.html#limit
>
> Den metode har jeg brugt med fint resultat. Jeg har så udvidet den med at
> det er tilladt for min egen IP at poste.

Det ser spændende ud!

Nu har jeg så ikke behov for auth users, så hvordan ser din IP-restriktion
ud?



Martin Larsen (01-09-2010)
Kommentar
Fra : Martin Larsen


Dato : 01-09-10 13:10

Morten P wrote:

> Nu har jeg så ikke behov for auth users, så hvordan ser din IP-restriktion
> ud?

<LimitExcept GET>
Deny from all
Allow from 212.X.X.X
</LimitExcept>

LimitExcept betyder "forbyd alt undtagen GET", borset altså fra listede
IP'er

Hilsen
Martin

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408921
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste