Koju verziju PHPa imas?

Predji na Apache2 i PHP 4.3.4.

Poslednja verzija je 1.3.30. Osim PHP-a, takodje i OpenSSL moze biti uzrok problema (ili neki CGI skript).

Poslednja verzija apacha je 1.3.29.

Direktoriji ".." i "." su direktoriji koji postoje u svakom "direktoriju".
.. znaci jedan direktorij ispod, tako da ako napises cd .. vratices se u direktorij nazad ... najjednostavnije objasnjeno, a direktorij "." je trenutni direktorij.

Najbolje ce ti biti da unajmis nekog iskusnog da ti odradi to ... moja preporuka.

U pravu si, otvorio sam http://httpd.apache.org i snimio najavu za 1.3.30 koji bi trebao da sadrzi zakrpu za mod_usertrack.

Pazi nisam cinik zaista, ali ja nisam rekao . ili .. direktorijumi nego ". " (cite se tacka spejs) ili ".. " dvotacka - spejs. Znaci u UNIX file sistemu mozes da kreiras dir./fajl kakvog hoces imena, tj. da ga cine kakvi hoces karakteri. A i to nije tema price nego je apache. Al' kad vec tezis...
OK, u svakom slucaju hvala na savjetima...
Nego kad smo kod bildovanja apache-php, pokusao sam ali i to, ali imam problem sa bildovanjem share-ovane biblioteku libphp. Libtool mi uvijek bilduje staticku, umjesto dinamicke biblioteke. Na njihovom sajtu to figurise kao registrovan bug. Da li se neko susreo sa time?

Kompromitovani sistem mora da se iskljuci sa mreze, preinstalira i stave updates pre pustanja na mrezu, i da se proveri security pre pustanja u mrezu ...
Postoji teoretska mogucnost da ti je ubaci maliciozni kod u Apache, telnet, ssh, kernel ... I ko zna gde sve ne. Tako da, kreni sve iz pocetka

Upravo, neko ko zna.

flylord,
Hvala, to je ok, imam bekap.
A da li imas neko iskustvo 'glede' libphp problema?

Sta je ovo!? Ne razumem
poz

Objasnio sam u nekom prethodnom tredu cini mi se ali evo,
znaci da li si skoro bildovao libphp.so -> serovanu biblioteku (tj. da li si bildovao php) umjesto nje libtool ti kreira staticku biblioteku libphp.a?

Bilo bi zanimljivo da postas logove.
Mozda se stvarno radi o nekom apache 0day exploitu. Vec se dugo prica da postoji neki remote exploit za apache 1.3.27, ali uvijek ispadne da je fejk.

Pazi, ono sto je definitivno je da je 99% probijen apache (1.3.27).
Koliko ja imam iskustva sa hakerima, ako nije rijec o paceru u logu se uglavnom ne moze naci nista korisno.
Gledao sam log access_log nema nista indikativnom a erroR_log ima dosta linija kao ova ispod.

[Sun Dec 28 05:07:35 2003] [error] mod_ssl: SSL handshake timed out (client 80.196.130.71,

Sto se tice php, koristim apache2 i php 4.3.3 i nemam problema:

popeye@server popeye $ locate libphp
/usr/lib/apache2-extramodules/libphp4.so

Mada, kako je Gentoo sistem u pitanju, moguce je da je njihov razvojni tim ispravio gresku koja se manifestuje kod tebe.

Koju verziju OpenSSL-a imas ugradjenu u apache? Bilo je dosta propusta u toku 2003. u openssh/openssl paketima.

Koristio sam mod_ssl-2.8.12-3.

open_ssl je:
openssl-0.9.6b-18

http://ftp.sslug.dk/mirror/red...6/openssl-0.9.6b-35.7.i386.rpm

Koliko vidim, postoji i novija verzija openssl-a za rh 7.3, pa preporucujem da je instaliras. Mozda bi bilo najbolje da instaliras grsecurity zakrpe za jezgro i snort, pa analiziras logove i sigurno ces doznati odakle, kad, kako i preko cega je izvrsen upad.

Jednostavno resenje koje se meni licno ne dopada, a siguran si da je apache krivac za upad, bi bilo da rucno instaliras poslednji apache (1.3.29 ili *eventualno* apache2), php, openssl/openssh...

Da, evo nacina na koji si najvjerojatnije haknut :-)
Vec dugo postoji exploit za openssl-0.9.6<d, pa obavezno patchaj to.

Mislim da je kljucno ono "-18". Ne koristim RH i ne pratim njihove SA, te ne znam da li je njihov tim u ovoj verziji zakrpio sve propuste, no kako je od septembra 2003. a postoji nova verzija tog paketa, verovatno nije.

Hvala vam na pomoci.

Rgds,
Bojan