[ JackW @ 29.08.2009. 20:58 ] @
|
| Juce sam analizirao log Apache-a i video sledece:
Code:
213.208.135.7 - - [28/Aug/2009:15:35:37 -0500]
"GET /blog/2009/07/20/php-curl/?t=../../../../../../../../etc/passwd HTTP/1.0" 200 31672 "-"
"Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.0.1)
Gecko/2008070400 SUSE/3.0.1-0.1 Firefox/3.0.1"
Napad je ponovio 67 puta sa nekoliko IP adresa. Menjao je URI, montirao refferer, operativni sistem i sl ali je
Code:
../../../../../../../../etc/passwd ostavio. Da li je mogao da procita sadrzaj passwd fajla ima dozvolu 0644?
Da li .htaccess moze da zastiti server od takvih kretena?
|
[ EArthquake @ 29.08.2009. 23:48 ] @
ako nisi napravioneku veliku gresku u konfigurisanju apacha verovatno nije mogao tako da procita passwd
to je verovatno neki automatizovani skener ili sta vec , lupi IP zakaci se na web server , proba par tih putanja , ako uspe sacuva , ako ne nista ...
a bar je lako da proveris da li je kod tebe uspeo
probaj da otovirs tvojsajt.domen/../../../../../../../../../../../../../etc/passwd
pa ako dobijes svoj passwd onda ne valja , ako ne , onda je ok
[ Marezzi @ 05.09.2009. 14:49 ] @
Zanimljivo, neko je pokusao napad preko LFI-a, tj Local File Inclusion. trazio je /etc/passwd da bi pronasao dobar path(putanju). Disable obavezno /prof/self/environ, jer bi mogao da ti upload remote shell preko UserAgent-a. Isto stavi neki custom path za /apache/access.log i error.log jer bi mogao isto da ti upload remote shell (Log Poisoning). Ako nije problem daj postavi link od tvog sajta pa da proverimo?
Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.