---

Nå, min webserver har så fået uploadet en masse biblioteker a la 'betty1994'
og 'porn2023' osv.

Jeg gætter på der er nogen der har fundet en metode til at udnytte en rwx
indstilling på en mappe til det.

Men hvordan gør de?

Der er jo mapper der har www-data:www-data 755 (upload mapper bl.a.) som jeg
jo ikke helt kommer udenom.

Der er ikke nogen public forms med upload, så jeg kan ikke gennemskue
hvordan data er kommet ind.

Nogen bud?

---

On Tue, 31 Aug 2010 22:14:26 +0200, Morten wrote:

> Der er ikke nogen public forms med upload, så jeg kan ikke gennemskue
> hvordan data er kommet ind.

> Nogen bud?

De har "hacket" og/eller script-kiddie't din maskine?

Har du PHP installeret? Nogle af de PHP-applikationer som automatiserede
scripts normalt går efter?

Jeg ser forholdsvis ofte forsøg på at lokke evt. PHP-applikationer på
min webserver i fordærv (men har ikke PHP installeret, så de går
forgæves).


Mvh.

Adam

--
"Didn't matter to me what I said. Still doesn't, Adam Sjøgren
really." asjo@koldfront.dk

---

On Tue, 31 Aug 2010 22:14:26 +0200, "Morten P" <spam@spam.spam> wrote:

>Nå, min webserver har så fået uploadet en masse biblioteker a la 'betty1994'
>og 'porn2023' osv.
>
>Jeg gætter på der er nogen der har fundet en metode til at udnytte en rwx
>indstilling på en mappe til det.
>
>Men hvordan gør de?
>
>Der er jo mapper der har www-data:www-data 755 (upload mapper bl.a.) som jeg
>jo ikke helt kommer udenom.
>
>Der er ikke nogen public forms med upload, så jeg kan ikke gennemskue
>hvordan data er kommet ind.
>
>Nogen bud?
>
Har du sammen lignet datoerne for fil oprettelse af mapperne med
apaches logfiler..
Du kan også kigge på mod_security og dens muligher for at debugge
f.eks POST
Måske har du et gammelt script installeret du helt har glemt
--
Keld Rosenkrantz
Få dit gratis webhotel på www.splinternet.dk
Selvfølgelig med fuld support samt flere
muligheder end du betaler for andre steder

---

Morten P wrote:

> Nå, min webserver har så fået uploadet en masse biblioteker a la 'betty1994'
> og 'porn2023' osv.

Er det din helt egen webserver, eller er det et webhotel?

I sidstnævnte tilfælde kan det være dårlig sikkerhed på webhotellet, det
har jeg været udsat for på servage.net.

Martin

---

On Tue, 31 Aug 2010 22:14:26 +0200, "Morten P" <spam@spam.spam> wrote:

>Nå, min webserver har så fået uploadet en masse biblioteker a la 'betty1994'
>og 'porn2023' osv.
>
>Jeg gætter på der er nogen der har fundet en metode til at udnytte en rwx
>indstilling på en mappe til det.
>
>Men hvordan gør de?
>
>Der er jo mapper der har www-data:www-data 755 (upload mapper bl.a.) som jeg
>jo ikke helt kommer udenom.
>
>Der er ikke nogen public forms med upload, så jeg kan ikke gennemskue
>hvordan data er kommet ind.
>
>Nogen bud?
>Hvis du er sikker på du ikke bruger POST nogen steder kunne du kigge på

http://httpd.apache.org/docs/2.0/mod/core.html#limit
--
Keld Rosenkrantz
Få dit gratis webhotel på www.splinternet.dk
Selvfølgelig med fuld support samt flere
muligheder end du betaler for andre steder

---

Keld Rosenkrantz wrote:

>> Hvis du er sikker på du ikke bruger POST nogen steder kunne du kigge på
> http://httpd.apache.org/docs/2.0/mod/core.html#limit

Den metode har jeg brugt med fint resultat. Jeg har så udvidet den med
at det er tilladt for min egen IP at poste.

Martin

---

"Martin Larsen" <martin+spamfree+larsen@bigfoot.com> wrote in message
news:4c7d7530$0$50447$14726298@news.sunsite.dk...
> Keld Rosenkrantz wrote:
>
>>> Hvis du er sikker på du ikke bruger POST nogen steder kunne du kigge på
>> http://httpd.apache.org/docs/2.0/mod/core.html#limit
>
> Den metode har jeg brugt med fint resultat. Jeg har så udvidet den med at
> det er tilladt for min egen IP at poste.

Det ser spændende ud!

Nu har jeg så ikke behov for auth users, så hvordan ser din IP-restriktion
ud?

---

Morten P wrote:

> Nu har jeg så ikke behov for auth users, så hvordan ser din IP-restriktion
> ud?

<LimitExcept GET>
Deny from all
Allow from 212.X.X.X
</LimitExcept>

LimitExcept betyder "forbyd alt undtagen GET", borset altså fra listede
IP'er

Hilsen
Martin