Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

apache-1.3.27-rupa

[es] :: Security :: apache-1.3.27-rupa

[ Pregleda: 5647 | Odgovora: 19 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

bojke2000
bojan zivkovic
Majstor (visak u dzepu, vaservaga u
ruci)
Bgd

Član broj: 12179
Poruke: 39
*.041net.co.yu

ICQ: 126380376


Profil

icon apache-1.3.27-rupa01.01.2004. u 21:27 - pre 197 meseci
Imam problem sa hakerom koji mi najvjerovatnije probija apache-a.
Verzija apache-a je 1.3.27, dakle najfriskiji update.
No, i prije i poslije update-a u /tmp sam nalazio rootkit, lsroot,... koje je ostavljao haker.
To je smjestao u direktorijume tipa ".. " ili ". " u /tmp, pri cemu je uid/gid direktorijuma i fajlova apache/apache.
Nemam ideju kako je probio apache-a.
Inace koristim ga zajedno sa php-om (koji je u php.ini konfigurisan da dozvoljava upload na server). Server je RedHat 7.3.
Da li neko ima ideju kako mi probija apache-a i kako da zakrpim rupu?

Thanks,

bojke2000
 
Odgovor na temu

dr ZiDoo
Banja Luka

Član broj: 189
Poruke: 1728
*.teol.net

Jabber: ZiDoo@elitesecurity.org
ICQ: 299539598
Sajt: zidoo.geek.rs.ba


Profil

icon Re: apache-1.3.27-rupa01.01.2004. u 22:35 - pre 197 meseci
Koju verziju PHPa imas?

Predji na Apache2 i PHP 4.3.4.

tu nema kašike....
 
Odgovor na temu

popeye
Branko Ivanović
Beograd

Član broj: 3846
Poruke: 960
*.bitsyu.net

Jabber: popeye@elitesecurity.org
ICQ: 18038966
Sajt: popeye.linuxo.org


Profil

icon Re: apache-1.3.27-rupa01.01.2004. u 22:55 - pre 197 meseci
Poslednja verzija je 1.3.30. Osim PHP-a, takodje i OpenSSL moze biti uzrok problema (ili neki CGI skript).
 
Odgovor na temu

littleboy
/home/sasa

Član broj: 14387
Poruke: 514
*.teol.net

ICQ: 46124351
Sajt: littleboy.geek.rs.ba


Profil

icon Re: apache-1.3.27-rupa02.01.2004. u 01:27 - pre 197 meseci
Poslednja verzija apacha je 1.3.29.

Direktoriji ".." i "." su direktoriji koji postoje u svakom "direktoriju".
.. znaci jedan direktorij ispod, tako da ako napises cd .. vratices se u direktorij nazad ... najjednostavnije objasnjeno, a direktorij "." je trenutni direktorij.

Najbolje ce ti biti da unajmis nekog iskusnog da ti odradi to ... moja preporuka.


\x47 \x6f \x64 \x20 \x6d \x61 \x64 \x65 \x20 \x70 \x6f \x74 \x2e \x20 \x4d
\x61 \x6e \x20 \x6d \x61 \x64 \x65 \x20 \x62 \x65
\x65 \x72 \x2e \x20 \x57 \x68 \x6f \x20 \x64 \x6f \x20 \x79 \x6f \x75 \x20
\x74 \x72 \x75 \x73 \x74 \x20 \x3f
 
Odgovor na temu

popeye
Branko Ivanović
Beograd

Član broj: 3846
Poruke: 960
*.bitsyu.net

Jabber: popeye@elitesecurity.org
ICQ: 18038966
Sajt: popeye.linuxo.org


Profil

icon Re: apache-1.3.27-rupa02.01.2004. u 02:53 - pre 197 meseci
U pravu si, otvorio sam http://httpd.apache.org i snimio najavu za 1.3.30 koji bi trebao da sadrzi zakrpu za mod_usertrack.
 
Odgovor na temu

bojke2000
bojan zivkovic
Majstor (visak u dzepu, vaservaga u
ruci)
Bgd

Član broj: 12179
Poruke: 39
*.041net.co.yu

ICQ: 126380376


Profil

icon Re: apache-1.3.27-rupa02.01.2004. u 16:22 - pre 197 meseci
Pazi nisam cinik zaista, ali ja nisam rekao . ili .. direktorijumi nego ". " (cite se tacka spejs) ili ".. " dvotacka - spejs. Znaci u UNIX file sistemu mozes da kreiras dir./fajl kakvog hoces imena, tj. da ga cine kakvi hoces karakteri. A i to nije tema price nego je apache. Al' kad vec tezis...
OK, u svakom slucaju hvala na savjetima...
Nego kad smo kod bildovanja apache-php, pokusao sam ali i to, ali imam problem sa bildovanjem share-ovane biblioteku libphp. Libtool mi uvijek bilduje staticku, umjesto dinamicke biblioteke. Na njihovom sajtu to figurise kao registrovan bug. Da li se neko susreo sa time?
 
Odgovor na temu

flylord
Ilić Aleksandar
Simplicity d.o.o.
Nis/Uzice

Član broj: 2954
Poruke: 3859
*.rcub.bg.ac.yu

ICQ: 4849714


+68 Profil

icon Re: apache-1.3.27-rupa02.01.2004. u 19:49 - pre 197 meseci
Kompromitovani sistem mora da se iskljuci sa mreze, preinstalira i stave updates pre pustanja na mrezu, i da se proveri security pre pustanja u mrezu ...
Postoji teoretska mogucnost da ti je ubaci maliciozni kod u Apache, telnet, ssh, kernel ... I ko zna gde sve ne. Tako da, kreni sve iz pocetka
 
Odgovor na temu

littleboy
/home/sasa

Član broj: 14387
Poruke: 514
*.teol.net

ICQ: 46124351
Sajt: littleboy.geek.rs.ba


Profil

icon Re: apache-1.3.27-rupa02.01.2004. u 20:51 - pre 197 meseci
Citat:
flylord:
Kompromitovani sistem mora da se iskljuci sa mreze, preinstalira i stave updates pre pustanja na mrezu, i da se proveri security pre pustanja u mrezu ...
Postoji teoretska mogucnost da ti je ubaci maliciozni kod u Apache, telnet, ssh, kernel ... I ko zna gde sve ne. Tako da, kreni sve iz pocetka


Upravo, neko ko zna.

\x47 \x6f \x64 \x20 \x6d \x61 \x64 \x65 \x20 \x70 \x6f \x74 \x2e \x20 \x4d
\x61 \x6e \x20 \x6d \x61 \x64 \x65 \x20 \x62 \x65
\x65 \x72 \x2e \x20 \x57 \x68 \x6f \x20 \x64 \x6f \x20 \x79 \x6f \x75 \x20
\x74 \x72 \x75 \x73 \x74 \x20 \x3f
 
Odgovor na temu

bojke2000
bojan zivkovic
Majstor (visak u dzepu, vaservaga u
ruci)
Bgd

Član broj: 12179
Poruke: 39
*.041net.co.yu

ICQ: 126380376


Profil

icon Re: apache-1.3.27-rupa02.01.2004. u 23:44 - pre 197 meseci
flylord,
Hvala, to je ok, imam bekap.
A da li imas neko iskustvo 'glede' libphp problema?
 
Odgovor na temu

flylord
Ilić Aleksandar
Simplicity d.o.o.
Nis/Uzice

Član broj: 2954
Poruke: 3859
*.rcub.bg.ac.yu

ICQ: 4849714


+68 Profil

icon Re: apache-1.3.27-rupa03.01.2004. u 00:08 - pre 197 meseci
Citat:
bojke2000:
A da li imas neko iskustvo 'glede' libphp problema?

Sta je ovo!? Ne razumem
poz
 
Odgovor na temu

bojke2000
bojan zivkovic
Majstor (visak u dzepu, vaservaga u
ruci)
Bgd

Član broj: 12179
Poruke: 39
*.041net.co.yu

ICQ: 126380376


Profil

icon Re: apache-1.3.27-rupa03.01.2004. u 00:15 - pre 197 meseci
Objasnio sam u nekom prethodnom tredu cini mi se ali evo,
znaci da li si skoro bildovao libphp.so -> serovanu biblioteku (tj. da li si bildovao php) umjesto nje libtool ti kreira staticku biblioteku libphp.a?
 
Odgovor na temu

DownBload

Član broj: 1333
Poruke: 310
*.net4u.hr



Profil

icon Re: apache-1.3.27-rupa03.01.2004. u 13:00 - pre 197 meseci
Bilo bi zanimljivo da postas logove.
Mozda se stvarno radi o nekom apache 0day exploitu. Vec se dugo prica da postoji neki remote exploit za apache 1.3.27, ali uvijek ispadne da je fejk.
Leon Juranic
 
Odgovor na temu

bojke2000
bojan zivkovic
Majstor (visak u dzepu, vaservaga u
ruci)
Bgd

Član broj: 12179
Poruke: 39
*.041net.co.yu

ICQ: 126380376


Profil

icon Re: apache-1.3.27-rupa03.01.2004. u 19:28 - pre 197 meseci
Pazi, ono sto je definitivno je da je 99% probijen apache (1.3.27).
Koliko ja imam iskustva sa hakerima, ako nije rijec o paceru u logu se uglavnom ne moze naci nista korisno.
Gledao sam log access_log nema nista indikativnom a erroR_log ima dosta linija kao ova ispod.

[Sun Dec 28 05:07:35 2003] [error] mod_ssl: SSL handshake timed out (client 80.196.130.71,
 
Odgovor na temu

popeye
Branko Ivanović
Beograd

Član broj: 3846
Poruke: 960
*.bitsyu.net

Jabber: popeye@elitesecurity.org
ICQ: 18038966
Sajt: popeye.linuxo.org


Profil

icon Re: apache-1.3.27-rupa03.01.2004. u 19:46 - pre 197 meseci
Sto se tice php, koristim apache2 i php 4.3.3 i nemam problema:

[email protected] popeye $ locate libphp
/usr/lib/apache2-extramodules/libphp4.so

Mada, kako je Gentoo sistem u pitanju, moguce je da je njihov razvojni tim ispravio gresku koja se manifestuje kod tebe.

Koju verziju OpenSSL-a imas ugradjenu u apache? Bilo je dosta propusta u toku 2003. u openssh/openssl paketima.
 
Odgovor na temu

bojke2000
bojan zivkovic
Majstor (visak u dzepu, vaservaga u
ruci)
Bgd

Član broj: 12179
Poruke: 39
*.041net.co.yu

ICQ: 126380376


Profil

icon Re: apache-1.3.27-rupa04.01.2004. u 11:08 - pre 197 meseci
Koristio sam mod_ssl-2.8.12-3.
 
Odgovor na temu

bojke2000
bojan zivkovic
Majstor (visak u dzepu, vaservaga u
ruci)
Bgd

Član broj: 12179
Poruke: 39
*.041net.co.yu

ICQ: 126380376


Profil

icon Re: apache-1.3.27-rupa04.01.2004. u 11:14 - pre 197 meseci
open_ssl je:
openssl-0.9.6b-18
 
Odgovor na temu

popeye
Branko Ivanović
Beograd

Član broj: 3846
Poruke: 960
*.pristop.co.yu

Jabber: popeye@elitesecurity.org
ICQ: 18038966
Sajt: popeye.linuxo.org


Profil

icon Re: apache-1.3.27-rupa04.01.2004. u 20:24 - pre 197 meseci
http://ftp.sslug.dk/mirror/red...6/openssl-0.9.6b-35.7.i386.rpm

Koliko vidim, postoji i novija verzija openssl-a za rh 7.3, pa preporucujem da je instaliras. Mozda bi bilo najbolje da instaliras grsecurity zakrpe za jezgro i snort, pa analiziras logove i sigurno ces doznati odakle, kad, kako i preko cega je izvrsen upad.

Jednostavno resenje koje se meni licno ne dopada, a siguran si da je apache krivac za upad, bi bilo da rucno instaliras poslednji apache (1.3.29 ili *eventualno* apache2), php, openssl/openssh...
 
Odgovor na temu

DownBload

Član broj: 1333
Poruke: 310
*.net4u.hr



Profil

icon Re: apache-1.3.27-rupa04.01.2004. u 21:00 - pre 197 meseci
Citat:
bojke2000:
open_ssl je:
openssl-0.9.6b-18


Da, evo nacina na koji si najvjerojatnije haknut :-)
Vec dugo postoji exploit za openssl-0.9.6<d, pa obavezno patchaj to.

Leon Juranic
 
Odgovor na temu

popeye
Branko Ivanović
Beograd

Član broj: 3846
Poruke: 960
*.bitsyu.net

Jabber: popeye@elitesecurity.org
ICQ: 18038966
Sajt: popeye.linuxo.org


Profil

icon Re: apache-1.3.27-rupa05.01.2004. u 01:19 - pre 197 meseci
Citat:
DownBload:
Citat:
bojke2000:
open_ssl je:
openssl-0.9.6b-18


Da, evo nacina na koji si najvjerojatnije haknut :-)
Vec dugo postoji exploit za openssl-0.9.6<d, pa obavezno patchaj to.


Mislim da je kljucno ono "-18". Ne koristim RH i ne pratim njihove SA, te ne znam da li je njihov tim u ovoj verziji zakrpio sve propuste, no kako je od septembra 2003. a postoji nova verzija tog paketa, verovatno nije.
 
Odgovor na temu

bojke2000
bojan zivkovic
Majstor (visak u dzepu, vaservaga u
ruci)
Bgd

Član broj: 12179
Poruke: 39
*.ppp-bg.sezampro.yu

ICQ: 126380376


Profil

icon Re: apache-1.3.27-rupa06.01.2004. u 00:01 - pre 197 meseci
Hvala vam na pomoci.

Rgds,
Bojan
 
Odgovor na temu

[es] :: Security :: apache-1.3.27-rupa

[ Pregleda: 5647 | Odgovora: 19 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.