Absichern von httpd

Darian · 16. Juni 2010

Hallo Leute,

habe gerade folgendes in logwatch gefunden:

Code

--------------------- httpd Begin ------------------------ 




 
 Connection attempts using mod_proxy:
    125.224.202.106 -> 203.188.201.253:25: 2 Time(s)
 
 A total of 5 sites probed the server 
    211.241.160.253
    61.64.157.64
    76.74.187.171
    82.76.12.197
    82.77.131.46
 
 A total of 7 possible successful probes were detected (the following URLs
 contain strings that match one or more of a listing of strings that
 indicate a possible exploit):
 
    [I]/artists.html/[/I]?option=com_sectionex&controller=../../../../../../../../../../../../../../../../../../../../../proc/self/environ%00 HTTP Response 200 
    /?option=com_sectionex&controller=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP Response 200 
    [I]/artists.html/[/I]?option=com_sectionex&controller=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP Response 200 
    /?option=com_sectionex&controller=../../../../../../../../../../../../../../../../../../../../../proc/self/environ%00 HTTP Response 200 
    /de//index.php?option=com_sectionex&controller=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP Response 200 
    //index.php?option=com_sectionex&controller=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP Response 200 
    /de/artists.html//index.php?option=com_sectionex&controller=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP Response 200 
 
 Requests with error response codes
    400 Bad Request
       /w00tw00t.at.ISC.SANS.DFind:): 62 Time(s)
    401 Unauthorized
       /: 3 Time(s)
       [I]/M-arts/Blog/Media/[/I]: 1 Time(s)
       /M-arts/Blog/Media/Ampe%20Mayer%202.jpg: 1 Time(s)
       /M-arts/Home/Archiv_files/RSS.png: 1 Time(s)
       /M-arts/Home/Eintr%C3%A4ge/2008/7/17_Es_wi ... es/DSCF3307.jpg: 1 Time(s)
       /M-arts/Home/Media/DSCF3294.jpg: 1 Time(s)
       /robots.txt: 4 Time(s)
       203.188.201.253:25: 2 Time(s)
       [URL]http://mak-di.org.ua/info.php?ip=78.46.117.116:[/URL] 1 Time(s)
       [URL]http://proxyjudge3.proxyfire.net/fastenv:[/URL] 3 Time(s)
       [URL]http://www.wantsfly.com/prx2.php?hash=C69D[/URL] ... 8C0378F013A2524: 1 Time(s)
    404 Not Found
       /artists/14-musik-performance/14-andrea-neumann.html: 1 Time(s)
       /css/ie.css: 6 Time(s)
       /de/artists/34-workshop/142-bewegungstheat ... -performer.html: 1 Time(s)
       /de/gallery/2008.html: 1 Time(s)
       /de/gallery/2009.html: 1 Time(s)
       /de/http%3A%2F%2Fwww.spielfestival.at%2Fde%2Fmedia.html: 1 Time(s)
       /de/shop.html: 1 Time(s)
       /de/tagebuch/13-spiel-festival-2009/109-286.html: 1 Time(s)
       /en/artists/1-film/55-david-mair-a.html: 1 Time(s)
       /en/artists/14-musik-performance/14-andrea-neumann.html: 1 Time(s)
       /en/artists/14-musik-performance/15-christian-kesten.html: 1 Time(s)
       /en/artists/14-musik-performance/17-fabian-rucker.html: 1 Time(s)
       /en/artists/14-musik-performance/41-lucas-settele-aut.html: 1 Time(s)
       /en/artists/14-musik-performance/96-peter-mayer.html: 1 Time(s)
       /en/artists/15-tanz-performance/23-simon-mayer-aut.html: 1 Time(s)
       /en/artists/15-tanz-performance/25-ediwaldo-ernesto-moc.html: 1 Time(s)
       /en/artists/15-tanz-performance/26-julia-wallner-aut.html: 1 Time(s)
       /en/artists/15-tanz-performance/38-dietlinde-resch-aut.html: 1 Time(s)
       /en/artists/15-tanz-performance/39-andreas ... lbauer-aut.html: 1 Time(s)
       /en/artists/16-workshops/91-franziska-aigner.html: 1 Time(s)
       /en/artists/19-vortrag/31-reinhard-steurer-aut.html: 1 Time(s)
       /en/artists/19-vortrag/34-josef-eder-aut.html: 1 Time(s)
       /en/artists/20-band/108-moskitos.html: 1 Time(s)
       /en/artists/20-band/47-the-billy-mark-group-usa.html: 1 Time(s)
       /en/artists/21-singer-songwriter/53-dylan-mckenzie-usa.html: 1 Time(s)
       /en/gallery/2009.html: 1 Time(s)
       /en/imprint.html: 1 Time(s)
       /favicon.ico: 19 Time(s)
       /gallery2/http: 1 Time(s)
       /impressum.html: 2 Time(s)
       /robots.txt: 61 Time(s)
       /spiel: 1 Time(s)
       [I]/spiel/[/I]: 1 Time(s)
       /spiel/artists.html: 1 Time(s)
       /spiel/artists/1-film/54-nandita-kumar-nl.html: 1 Time(s)
       /spiel/artists/1-film/55-david-mair-a.html: 1 Time(s)
       /spiel/artists/14-musik-performance/14-andrea-neumann.html: 1 Time(s)
       /spiel/artists/14-musik-performance/17-fabian-rucker.html: 1 Time(s)
       /spiel/artists/14-musik-performance/41-luc ... ettele-aut.html: 1 Time(s)
       /spiel/artists/14-musik-performance/83-philipp-mayer.html: 1 Time(s)
       /spiel/artists/15-tanz-performance/23-simon-mayer-aut.html: 1 Time(s)
       /spiel/artists/15-tanz-performance/25-ediw ... rnesto-moc.html: 1 Time(s)
       /spiel/artists/15-tanz-performance/26-julia-wallner-aut.html: 2 Time(s)
       /spiel/artists/15-tanz-performance/30-violaine-garros-f.html: 1 Time(s)
       /spiel/artists/15-tanz-performance/35-carlos-garbin-br.html: 1 Time(s)
       /spiel/artists/19-vortrag/31-reinhard-steurer-aut.html: 1 Time(s)
       /spiel/artists/20-band/45-derde-verde-usa.html: 1 Time(s)
       /spiel/artists/21-singer-songwriter/51-geo ... dinger-aut.html: 1 Time(s)
       /spiel/artists/21-singer-songwriter/53-dyl ... kenzie-usa.html: 1 Time(s)
       /spiel/home.html: 1 Time(s)
       /spiel/images/stories/presse/Spiel09/Heimspiel2-009.jpeg: 1 Time(s)
       /spiel/images/stories/presse/thumbnails/DSC00749.jpg: 1 Time(s)
       /spiel/images/stories/spiel2009/tagebuch/dsc00930.jpg: 1 Time(s)
       /spiel/impressum.html: 1 Time(s)
       /spiel/plugins/content/smoothgallery/cache ... 45-DSC01043.jpg: 1 Time(s)
       /spiel/presse.html: 1 Time(s)
       /spiel/tagebuch.html?start=10: 1 Time(s)
       /spiel/tagebuch/13-spiel-festival-2009.html?start=5: 1 Time(s)
       /spiel/tagebuch/13-spiel-festival-2009/113-247.html: 1 Time(s)
       /spiel/tagebuch/13-spiel-festival-2009/122-270110.html: 1 Time(s)
       /spiel/team.html: 1 Time(s)
       /spiel/verein.html: 1 Time(s)
       /spielplatz.html: 1 Time(s)
       /tagebuch.html: 1 Time(s)
       /tagebuch/13-spiel-festival-2009/120-161109.html: 1 Time(s)
       /tagebuch/13-spiel-festival-2009/122-270110.html: 1 Time(s)
 
 ---------------------- httpd End -------------------------

Alles anzeigen

Sieht eigentlich nicht gut aus, hoffe das joomla was auch installiert ist sicher genug.

Was könnte ich machen um die Sicherheit zu erhöhen.

thx und lg
Darian

Xot · 16. Juni 2010

Das einzige bei dem ich mir sorgen machen würde wäre folgender Abschnitt:

Code

A total of 7 possible successful probes were detected (the following URLs
 contain strings that match one or more of a listing of strings that
 indicate a possible exploit):
 
    /artists.html/?option=com_sectionex&controller=../../../../../../../../../../../../../../../../../../../../../proc/self/environ%00 HTTP Response 200 
    /?option=com_sectionex&controller=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP Response 200 
    /artists.html/?option=com_sectionex&controller=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP Response 200 
    /?option=com_sectionex&controller=../../../../../../../../../../../../../../../../../../../../../proc/self/environ%00 HTTP Response 200 
    /de//index.php?option=com_sectionex&controller=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP Response 200 
    //index.php?option=com_sectionex&controller=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP Response 200 
    /de/artists.html//index.php?option=com_sectionex&controller=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP Response 200

Alles anzeigen

Evtl. benutzt du mit Joomla unsichere Plugins...

ubuntu · 16. Juni 2010

open_basedir würde ich aktivieren. Die DFind-Einträge habe ich auch, bei 4 ISP's schon eine Abusemails geschrieben wegen dem.

gruss ubuntu

Darian · 16. Juni 2010

Na ja, das ist nicht mein Joomla ist ein Freund von mir, und ich habe ihn schon gewarnt.

Wichtig wäre trotzdem nur dass damit kein Zugriff auf dem Server möglich ist.

Denke es wäre vielleicht sinnvoll auf fcgi umzustellen, so dass zumindest mal der www-data:www-data User aus dem Spiel ist.

Habe mal alle urls getestet, und es handelt sich wirklich um require_once() also soweit ist das einmal nicht so unlogisch.

Habe aber nur permission denied Fehlermeldungen von php zurück bekommen.

Soweit sollte das passen?

lg Darian

schtebo · 16. Juni 2010

joa steht ja auch im log HTTP Response 200 --> fehlermeldung. aber zumindest mal wollte er im system was auslesen

Darian · 18. Juni 2010

Hallo Leute,

sowie ich das jetzt verstanden habe ist DFind dazu da um MSSQL zu knacken, das kann mir am Linux also egal sein?

open_basedir müsste ich ja für jede HP extra machen.

Würde es also gehen das einfach in das vhost File einzutragen?

Code

<VirtualHost *:80>
   DocumentRoot "/var/www/[domain]/htdocs"
   ServerName www.[domain]
   ServerAlias [domain]
   <Directory "/var/www/[domain]/htdocs">
   allow from all
   Options +Indexes
   AllowOverride All
   php_value open_basedir /var/www/[domain]
   </Directory>
   ErrorLog /var/www/[domain]/logs/error_log
   LogLevel debug
   AddDefaultCharset UTF-8
</VirtualHost>

Alles anzeigen

thx und lg
Darian