Srodne teme
Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

apache-1.3.27-rupa

[es] :: Security :: apache-1.3.27-rupa

[ Pregleda: 3071 | Odgovora: 19 ]

 Postavi temu Odgovori

Autor
Pretraga teme: Traži
Markiranje Štampanje RSS

bojke2000
bojan zivkovic
system architect
Bgd

Član broj: 12179
Poruke: 35
*.041net.co.yu

ICQ: 126380376


Profil

icon apache-1.3.27-rupa01.01.2004. u 21:27

Imam problem sa hakerom koji mi najvjerovatnije probija apache-a.
Verzija apache-a je 1.3.27, dakle najfriskiji update.
No, i prije i poslije update-a u /tmp sam nalazio rootkit, lsroot,... koje je ostavljao haker.
To je smjestao u direktorijume tipa ".. " ili ". " u /tmp, pri cemu je uid/gid direktorijuma i fajlova apache/apache.
Nemam ideju kako je probio apache-a.
Inace koristim ga zajedno sa php-om (koji je u php.ini konfigurisan da dozvoljava upload na server). Server je RedHat 7.3.
Da li neko ima ideju kako mi probija apache-a i kako da zakrpim rupu?

Thanks,

bojke2000
01.01.2004. u 21:27 

dr ZiDoo
Web Developer
Banja Luka

Član broj: 189
Poruke: 1710
*.teol.net

Jabber: ZiDoo@elitesecurity.org
ICQ: 299539598
Sajt: zidoo.geek.rs.ba


Profil

icon Re: apache-1.3.27-rupa01.01.2004. u 22:35
Koju verziju PHPa imas?

Predji na Apache2 i PHP 4.3.4.
tu nema kašike....
01.01.2004. u 22:35 

popeye
Branko Ivanović
Beograd

Član broj: 3846
Poruke: 960
*.bitsyu.net

Jabber: popeye@elitesecurity.org
ICQ: 18038966
Sajt: popeye.linuxo.org


Profil

icon Re: apache-1.3.27-rupa01.01.2004. u 22:55
Poslednja verzija je 1.3.30. Osim PHP-a, takodje i OpenSSL moze biti uzrok problema (ili neki CGI skript).
01.01.2004. u 22:55 

littleboy
/home/sasa

Član broj: 14387
Poruke: 514
*.teol.net

ICQ: 46124351
Sajt: littleboy.geek.rs.ba


Profil

icon Re: apache-1.3.27-rupa02.01.2004. u 01:27
Poslednja verzija apacha je 1.3.29.

Direktoriji ".." i "." su direktoriji koji postoje u svakom "direktoriju".
.. znaci jedan direktorij ispod, tako da ako napises cd .. vratices se u direktorij nazad ... najjednostavnije objasnjeno, a direktorij "." je trenutni direktorij.

Najbolje ce ti biti da unajmis nekog iskusnog da ti odradi to ... moja preporuka.

\x47 \x6f \x64 \x20 \x6d \x61 \x64 \x65 \x20 \x70 \x6f \x74 \x2e \x20 \x4d
\x61 \x6e \x20 \x6d \x61 \x64 \x65 \x20 \x62 \x65
\x65 \x72 \x2e \x20 \x57 \x68 \x6f \x20 \x64 \x6f \x20 \x79 \x6f \x75 \x20
\x74 \x72 \x75 \x73 \x74 \x20 \x3f
02.01.2004. u 01:27 

popeye
Branko Ivanović
Beograd

Član broj: 3846
Poruke: 960
*.bitsyu.net

Jabber: popeye@elitesecurity.org
ICQ: 18038966
Sajt: popeye.linuxo.org


Profil

icon Re: apache-1.3.27-rupa02.01.2004. u 02:53
U pravu si, otvorio sam http://httpd.apache.org i snimio najavu za 1.3.30 koji bi trebao da sadrzi zakrpu za mod_usertrack.
02.01.2004. u 02:53 

bojke2000
bojan zivkovic
system architect
Bgd

Član broj: 12179
Poruke: 35
*.041net.co.yu

ICQ: 126380376


Profil

icon Re: apache-1.3.27-rupa02.01.2004. u 16:22
Pazi nisam cinik zaista, ali ja nisam rekao . ili .. direktorijumi nego ". " (cite se tacka spejs) ili ".. " dvotacka - spejs. Znaci u UNIX file sistemu mozes da kreiras dir./fajl kakvog hoces imena, tj. da ga cine kakvi hoces karakteri. A i to nije tema price nego je apache. Al' kad vec tezis...
OK, u svakom slucaju hvala na savjetima...
Nego kad smo kod bildovanja apache-php, pokusao sam ali i to, ali imam problem sa bildovanjem share-ovane biblioteku libphp. Libtool mi uvijek bilduje staticku, umjesto dinamicke biblioteke. Na njihovom sajtu to figurise kao registrovan bug. Da li se neko susreo sa time?
02.01.2004. u 16:22 

flylord
Ilić Aleksandar
Freedomia (direktor)
Nis/Uzice

Tehnički konsultant
Član broj: 2954
Poruke: 3412
*.rcub.bg.ac.yu

Jabber: flylord@elitesecurity.org
ICQ: 4849714
Sajt: blog.itseminar.org


Profil

icon Re: apache-1.3.27-rupa02.01.2004. u 19:49
Kompromitovani sistem mora da se iskljuci sa mreze, preinstalira i stave updates pre pustanja na mrezu, i da se proveri security pre pustanja u mrezu ...
Postoji teoretska mogucnost da ti je ubaci maliciozni kod u Apache, telnet, ssh, kernel ... I ko zna gde sve ne. Tako da, kreni sve iz pocetka
GuruServe hosting

POLITEJA - Vaša dnevna doza politike
02.01.2004. u 19:49 

littleboy
/home/sasa

Član broj: 14387
Poruke: 514
*.teol.net

ICQ: 46124351
Sajt: littleboy.geek.rs.ba


Profil

icon Re: apache-1.3.27-rupa02.01.2004. u 20:51
Citat:
flylord:
Kompromitovani sistem mora da se iskljuci sa mreze, preinstalira i stave updates pre pustanja na mrezu, i da se proveri security pre pustanja u mrezu ...
Postoji teoretska mogucnost da ti je ubaci maliciozni kod u Apache, telnet, ssh, kernel ... I ko zna gde sve ne. Tako da, kreni sve iz pocetka


Upravo, neko ko zna.
\x47 \x6f \x64 \x20 \x6d \x61 \x64 \x65 \x20 \x70 \x6f \x74 \x2e \x20 \x4d
\x61 \x6e \x20 \x6d \x61 \x64 \x65 \x20 \x62 \x65
\x65 \x72 \x2e \x20 \x57 \x68 \x6f \x20 \x64 \x6f \x20 \x79 \x6f \x75 \x20
\x74 \x72 \x75 \x73 \x74 \x20 \x3f
02.01.2004. u 20:51 

bojke2000
bojan zivkovic
system architect
Bgd

Član broj: 12179
Poruke: 35
*.041net.co.yu

ICQ: 126380376


Profil

icon Re: apache-1.3.27-rupa02.01.2004. u 23:44
flylord,
Hvala, to je ok, imam bekap.
A da li imas neko iskustvo 'glede' libphp problema?
02.01.2004. u 23:44 

flylord
Ilić Aleksandar
Freedomia (direktor)
Nis/Uzice

Tehnički konsultant
Član broj: 2954
Poruke: 3412
*.rcub.bg.ac.yu

Jabber: flylord@elitesecurity.org
ICQ: 4849714
Sajt: blog.itseminar.org


Profil

icon Re: apache-1.3.27-rupa03.01.2004. u 00:08
Citat:
bojke2000:
A da li imas neko iskustvo 'glede' libphp problema?

Sta je ovo!? Ne razumem
poz
GuruServe hosting

POLITEJA - Vaša dnevna doza politike
03.01.2004. u 00:08 

bojke2000
bojan zivkovic
system architect
Bgd

Član broj: 12179
Poruke: 35
*.041net.co.yu

ICQ: 126380376


Profil

icon Re: apache-1.3.27-rupa03.01.2004. u 00:15
Objasnio sam u nekom prethodnom tredu cini mi se ali evo,
znaci da li si skoro bildovao libphp.so -> serovanu biblioteku (tj. da li si bildovao php) umjesto nje libtool ti kreira staticku biblioteku libphp.a?
03.01.2004. u 00:15 

DownBload

Član broj: 1333
Poruke: 309
*.net4u.hr



Profil

icon Re: apache-1.3.27-rupa03.01.2004. u 13:00
Bilo bi zanimljivo da postas logove.
Mozda se stvarno radi o nekom apache 0day exploitu. Vec se dugo prica da postoji neki remote exploit za apache 1.3.27, ali uvijek ispadne da je fejk.
Leon Juranic
03.01.2004. u 13:00 

bojke2000
bojan zivkovic
system architect
Bgd

Član broj: 12179
Poruke: 35
*.041net.co.yu

ICQ: 126380376


Profil

icon Re: apache-1.3.27-rupa03.01.2004. u 19:28
Pazi, ono sto je definitivno je da je 99% probijen apache (1.3.27).
Koliko ja imam iskustva sa hakerima, ako nije rijec o paceru u logu se uglavnom ne moze naci nista korisno.
Gledao sam log access_log nema nista indikativnom a erroR_log ima dosta linija kao ova ispod.

[Sun Dec 28 05:07:35 2003] [error] mod_ssl: SSL handshake timed out (client 80.196.130.71,
03.01.2004. u 19:28 

popeye
Branko Ivanović
Beograd

Član broj: 3846
Poruke: 960
*.bitsyu.net

Jabber: popeye@elitesecurity.org
ICQ: 18038966
Sajt: popeye.linuxo.org


Profil

icon Re: apache-1.3.27-rupa03.01.2004. u 19:46
Sto se tice php, koristim apache2 i php 4.3.3 i nemam problema:

popeye@server popeye $ locate libphp
/usr/lib/apache2-extramodules/libphp4.so

Mada, kako je Gentoo sistem u pitanju, moguce je da je njihov razvojni tim ispravio gresku koja se manifestuje kod tebe.

Koju verziju OpenSSL-a imas ugradjenu u apache? Bilo je dosta propusta u toku 2003. u openssh/openssl paketima.
03.01.2004. u 19:46 

bojke2000
bojan zivkovic
system architect
Bgd

Član broj: 12179
Poruke: 35
*.041net.co.yu

ICQ: 126380376


Profil

icon Re: apache-1.3.27-rupa04.01.2004. u 11:08
Koristio sam mod_ssl-2.8.12-3.
04.01.2004. u 11:08 

bojke2000
bojan zivkovic
system architect
Bgd

Član broj: 12179
Poruke: 35
*.041net.co.yu

ICQ: 126380376


Profil

icon Re: apache-1.3.27-rupa04.01.2004. u 11:14
open_ssl je:
openssl-0.9.6b-18
04.01.2004. u 11:14 

popeye
Branko Ivanović
Beograd

Član broj: 3846
Poruke: 960
*.pristop.co.yu

Jabber: popeye@elitesecurity.org
ICQ: 18038966
Sajt: popeye.linuxo.org


Profil

icon Re: apache-1.3.27-rupa04.01.2004. u 20:24
http://ftp.sslug.dk/mirror/red...6/openssl-0.9.6b-35.7.i386.rpm

Koliko vidim, postoji i novija verzija openssl-a za rh 7.3, pa preporucujem da je instaliras. Mozda bi bilo najbolje da instaliras grsecurity zakrpe za jezgro i snort, pa analiziras logove i sigurno ces doznati odakle, kad, kako i preko cega je izvrsen upad.

Jednostavno resenje koje se meni licno ne dopada, a siguran si da je apache krivac za upad, bi bilo da rucno instaliras poslednji apache (1.3.29 ili *eventualno* apache2), php, openssl/openssh...
04.01.2004. u 20:24 

DownBload

Član broj: 1333
Poruke: 309
*.net4u.hr



Profil

icon Re: apache-1.3.27-rupa04.01.2004. u 21:00
Citat:
bojke2000:
open_ssl je:
openssl-0.9.6b-18


Da, evo nacina na koji si najvjerojatnije haknut :-)
Vec dugo postoji exploit za openssl-0.9.6<d, pa obavezno patchaj to.
Leon Juranic
04.01.2004. u 21:00 

popeye
Branko Ivanović
Beograd

Član broj: 3846
Poruke: 960
*.bitsyu.net

Jabber: popeye@elitesecurity.org
ICQ: 18038966
Sajt: popeye.linuxo.org


Profil

icon Re: apache-1.3.27-rupa05.01.2004. u 01:19
Citat:
DownBload:
Citat:
bojke2000:
open_ssl je:
openssl-0.9.6b-18


Da, evo nacina na koji si najvjerojatnije haknut :-)
Vec dugo postoji exploit za openssl-0.9.6<d, pa obavezno patchaj to.


Mislim da je kljucno ono "-18". Ne koristim RH i ne pratim njihove SA, te ne znam da li je njihov tim u ovoj verziji zakrpio sve propuste, no kako je od septembra 2003. a postoji nova verzija tog paketa, verovatno nije.
05.01.2004. u 01:19 

bojke2000
bojan zivkovic
system architect
Bgd

Član broj: 12179
Poruke: 35
*.ppp-bg.sezampro.yu

ICQ: 126380376


Profil

icon Re: apache-1.3.27-rupa06.01.2004. u 00:01
Hvala vam na pomoci.

Rgds,
Bojan
06.01.2004. u 00:01 

[es] :: Security :: apache-1.3.27-rupa

[ Pregleda: 3071 | Odgovora: 19 ]

 Postavi temu Odgovori

Srodne teme
Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.