RE: [apache-talk] Re: [apache-talk] DOS-атака.

[sk.list@xxxxxxxxxx]

Hi!

On 21-Oct-99 Stanislav Malyshev a.k.a Frodo wrote:
>>> Извиняйте за аттач, но это файлы из каталога усера, что пытался
>>> (успешно) атаковать наш www-сервер. Суть атаки там простая -
>>> программа на php через fsockopen() открывает на этом же сервере
>>> коннект и вызывает еще парочку таких итп... Все было бы ничего - я
>>> поставил заплату против этого. Кстати, можно ли как-то радикально
>>> избежать таких атак? Я сделал на mod_rewrite ;-) примочку.
> 
> Вообще, единственный реальный метод против local DOS - userdel (на
> некоторых системах - rmuser). Потому как следующий раз он вам там запустит
> свежий local root exploit или fork bomb и вы будете иметь геморроя на весь
> LAN. Или по меньшей мере у юзера отбираются все права на executable
> content - включая PHP, SSI, CGI, whatever. 

Это так. Но там хацкер под чужим логином (тыреным) ковырялся.
 
>>> Как видно из текста программы - она читает переменные $USER и $PASS
>>> и если там что-то есть - шлет письмо хацкеру с логином и паролем. Но
>>> в environmente НЕ ДОЛЖНО быть этих переменных! Судя по файлу last из
>>> приложения там что-то все же было! Вот мне и интересно - чья же это
>>> дыра? Apache? Apache/rus? PHP? Мммм?
 
> $USER и $PASS - не знаю откуда... Если он там и есть, то это юзер апача, а
> не авторизация с HTTP, которая $REMOTE_USER. А у PHP переменные называются
> PHP_AUTH_USER и PHP_AUTH_PW, см. доку на PHP3 features.

Я это знаю. Я тебе говорю ФАКТ, что такой експлоит получает в тех переменных
какие-то логины пароли.

SKiller
--------------------------
Sergei Keler
WebMaster of "ComSet"
E-Mail: skiller@xxxxxxxxxx
http://www.comset.net
--------------------------
=============================================================================
=               Apache-Talk@xxxxxxxxxxxxx mailing list                      =
Mail "unsubscribe apache-talk" to majordomo@xxxxxxxxxxxxx if you want to quit.
=       Archive avaliable at http://www.lexa.ru/apache-talk                 =