День добрый.
Ситуация:
1) apache 1.3.24+mod_charset
2) виртуальные сервера по namebased схеме.
3) в секциях нескольких виртуалок прописано
charsetdisable on
4) в самых верхних каталогах нескольких виртаулок лежит .htaccess с
charsetdisable on
Судя по описанию, worm работает без указания поля
"Host:" (или с указанием "Host: unknown")
На это указывают и записи в логах:
[Mon Jul 1 17:20:12 2002] [error] [client 192.197.213.158] client sent
HTTP/1.1 request without hostname (see RFC2616 section 14.23): /
То есть запрос валится не на виртуальный сервер, а (куда кстати в этом
случае попадает запрос ? наверное на тот самый обработчик, который и
говорит строку в логи "RFC" см выше.)
Только вот "появились" такие файлики /tmp/.a и /tmp/.uua
с датами примерно 17:20:18
И процесс такой присутсвует ".a 192.197.213.158"
То есть, правильно-ли я понимаю, что apache <=1.3.24 + mod_charset в
каких-то услових тоже vulner. ?
p.s.
заметил только сегодня, ибо openssh+libc.resolv совсем голову забили.
p.s.2.
некий колокаторский админ заметил увеличение трафика. То-же самое - ".a"
Но он вообще утверждает неприятную вещь - у него нет директивы
"charsetdisable on" нигде. Ни в конфиге ни в .htaccess apache
1.3.24+mod_charset
b.r.
Козин Максим
=============================================================================
= Apache-Rus@xxxxxxxxxxxxx mailing list =
Mail "unsubscribe apache-rus" to majordomo@xxxxxxxxxxxxx if you want to quit.
= Archive avaliable at =
"Russian Apache" includes software developed
by the Apache Group for use in the Apache HTTP server project
(http://www.apache.org/) See
Apache LICENSE.
Copyright (C) 1995-2001 The Apache Group. All rights reserved.
Copyright (C) 1996 Dm. Kryukov; Copyright (C)
1997-2009 . Design (C) 1998 Max Smolev.
