>> Извиняйте за аттач, но это файлы из каталога усера, что пытался
>> (успешно) атаковать наш www-сервер. Суть атаки там простая -
>> программа на php через fsockopen() открывает на этом же сервере
>> коннект и вызывает еще парочку таких итп... Все было бы ничего - я
>> поставил заплату против этого. Кстати, можно ли как-то радикально
>> избежать таких атак? Я сделал на mod_rewrite ;-) примочку.
Вообще, единственный реальный метод против local DOS - userdel (на
некоторых системах - rmuser). Потому как следующий раз он вам там запустит
свежий local root exploit или fork bomb и вы будете иметь геморроя на весь
LAN. Или по меньшей мере у юзера отбираются все права на executable
content - включая PHP, SSI, CGI, whatever.
>> Как видно из текста программы - она читает переменные $USER и $PASS
>> и если там что-то есть - шлет письмо хацкеру с логином и паролем. Но
>> в environmente НЕ ДОЛЖНО быть этих переменных! Судя по файлу last из
>> приложения там что-то все же было! Вот мне и интересно - чья же это
>> дыра? Apache? Apache/rus? PHP? Мммм?
$USER и $PASS - не знаю откуда... Если он там и есть, то это юзер апача, а
не авторизация с HTTP, которая $REMOTE_USER. А у PHP переменные называются
PHP_AUTH_USER и PHP_AUTH_PW, см. доку на PHP3 features.
--
frodo@sharat.co.il \/ There shall be counsels taken
Stanislav Malyshev /\ Stronger than Morgul-spells
phone +972-3-9316425 /\ JRRT LotR.
whois:!SM8333
=============================================================================
= Apache-Talk@lists.lexa.ru mailing list =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
= Archive avaliable at =
