Ответ
 
Опции вопроса Поиск в этом вопросе Опции просмотра
  #1  
Старый 16.10.2011, 16:37
Аватар для Guest
Guest
Вопрос
Сообщений: n/a
По умолчанию

Недавно поломали сайт, не совсем понятно через какую дырку, непонятно только через какую.ПО: PHP5.2.5 apache 2.2.8 / freebsdPHP с стандартными модулями, APC и bcompiler.Апач с mod_ssl, и сайт был доступен как по ssl, так и не по ssl.Итак, в логах апача вижу в строке где пишется GET запрос (вместе со словом GET):Сперва что подозрительно, в errorlog есть 10 таких строк (с разными PID-ами):[Mon Jul 21 10:37:54 2008] [notice] child pid 56942 exit signal Illegal instruction (4)Далее access-log.Формат логов привожу такой: Access log: "" 400 226 "-" "-"Error log: [error] [client xx.xx.xx.xx] Invalid URI in request Следующий запрос был через 3 секунды:Access log: "GET /index.php?gh HTTP/1.1" 200 137 "-" "Opera/9.50 (Windows NT 5.1; U; ru)"Error log: cannot create 123.php: Permission deniedТоесть этот код реально выполнялся, позже этим способом был залит web shell и далее все понятно.Предполагаю, перед этим апачу были скормлены запросы, которые сыграли на переполнении буфера и стало возможным делать такие запросы. К сожалению tcp дампа этого трафика нет Может кто знает, что это за уязвимость и как лечиться? Все-таки вот такое исполнение произвольного кода это огромная дыра в безопасности...
Ответить с цитированием
Ответ



Похожие вопросы
Тема Автор Раздел Ответов Последний вопрос или ответ
Пожалуйста проверте на уязвимость Guest Продолжение старого архива 0 16.10.2011 15:25
Уязвимость в теге IMG ! Guest Продолжение старого архива 0 01.10.2011 05:11
Уязвимость в версии 1.1.5 Guest Продолжение старого архива 0 01.10.2011 02:54
Android Execution Environment Guest Новый архив 2 0 29.09.2011 12:45



© www.otvetnemail.ru - Форум вопросов и ответов.