WauWau: Wie angreifbar ist der Apache?

Hola,

Der Titel sagt es schon voll und ganz aus: Wie angreifbar ist ein PC, der lediglich über Port 80 (nix anderes) zu erreichen ist? Ich meine, hier geht es ja dann lediglich um den Apachen.

Was ließe sich da jetzt so rein angriffstechnisch machen? Nicht, dass das jetzt falsch verstanden wird, ich will niemanden angreifen, sondern nur meinen beschützen ;-) - also, gibt es da (bekannte?) Bugs, über die da was machbar wäre?

WauWau

--
ss:) zu:) ls:& fo:) de:] va:) ch:° n4:( rl:( br:^ js:| ie:% fl:{ mo:|
E-Mail WauWau: [mailto:der-wauwau@gmx.de]
  1. Hallo,

    Der Titel sagt es schon voll und ganz aus: Wie angreifbar ist ein PC, der lediglich über Port 80 (nix anderes) zu erreichen ist?

    Welches Betriebssystem? Wenn es Windows ist, bezweifle ich mal, dass der PC _nur_ über Port 80 zu erreichen ist ;-)). Wenn doch, dann beschreibe mal, wie Du das gemacht hast. Tipp:
    in einer Eingabeaufforderung mal eingeben:

    netstat -an

    und schauen, was alles auf ABHÖREN steht.

    Ich meine, hier geht es ja dann lediglich um den Apachen.

    http://www.security-focus.com/bid/vendor/
    Vendor, Title und Version wählen.

    viele Grüße

    Axel

    1. Hi,

      Wenn doch, dann beschreibe mal, wie Du das gemacht hast.

      Mit einer Firewall?

      E7

      1. Hallo,

        Wenn doch, dann beschreibe mal, wie Du das gemacht hast.

        Mit einer Firewall?

        Aha.
        Wo ist diese Firewall? Auf dem PC, auf dem _nur_ Port 80 angreifbar sein soll? Wenn ja, dann ist sie da umsonst. Firewalls arbeiten als Paketfilter. Sie prüfen also Pakete, die auf bestimmte Ports zielen, nach bestimmten Regeln. Mal ganz davon abgesehen, dass diese Regeln _sehr_ genau und strikt definiert sein müssen, wenn die Firewall überhaupt irgendeinen Sinn haben soll, bei der Prüfung sind die Pakete also schon auf dem PC und im System des PCs, auf dem die Firewall läuft. Exploits, die Systemschwächen ausnutzen haben also längst zugeschlagen.

        viele Grüße

        Axel

        1. Hallo,

          Firewalls arbeiten als Paketfilter. Sie prüfen also Pakete, die auf bestimmte Ports zielen, nach bestimmten Regeln.

          Falsch. Firewalls sind nicht zwingend Paketfilter. Firewalls sind eigentlich überhaupt keine Software, sondern ein Konzept welches dann zum Beispiel Paketfilter enthalten kann.
          Denkbar wäre aber auch ein Filter auf Applikationsebene, der dann beispielsweise direkt http analysiert und zum Beispiel ungültige Anfrageformate herausfiltert oder was weiß ich.
          Möglich ist vieles.

          Gruß
             MichaelB

          1. Hi,

            mit einer Firewall kann man Ports sperren. Wenn man alle außer Port 80 sperrt - hat man schon mal die Bedingung erfüllt, die im Posting stand (dass nur noch Port 80 offen ist).

            Dann gibt's da noch die Firewall im Router... Da kann man dann alles ganz genau einstellen (zumindest meistens). Wenn der Router nur Port 80 weiterleitet (bei Anfragen von außen), ist der Rest dicht.

            E7

            1. Hallo,

              mit einer Firewall kann man Ports sperren.

              Nein, das kann man nicht. Man kann den Pakettransport über bestimmte Ports verhindern, indem man diese Pakete filtert.

              Dann gibt's da noch die Firewall im Router... Da kann man dann alles ganz genau einstellen (zumindest meistens). Wenn der Router nur Port 80 weiterleitet (bei Anfragen von außen), ist der Rest dicht.

              Ja, und _diese_ Firewall ist auch sinnvoll, weil sie in einem eigenständigen System (Router) läuft. Ein Angriff kann maximal _dieses_ System kompromittieren. Dann kommen _gar keine_ Pakete mehr über den Router. Das ist zwar ärgerlich, aber nicht gefährlich.

              viele Grüße

              Axel

              1. Hallo Axel, hallo Michael, hallo e7,

                mit einer Firewall kann man Ports sperren.
                Nein, das kann man nicht. Man kann den Pakettransport über bestimmte Ports verhindern, indem man diese Pakete filtert.

                Dann gibt's da noch die Firewall im Router... Da kann man dann alles ganz genau einstellen (zumindest meistens). Wenn der Router nur Port 80 weiterleitet (bei Anfragen von außen), ist der Rest dicht.
                Ja, und _diese_ Firewall ist auch sinnvoll, weil sie in einem eigenständigen System (Router) läuft. Ein Angriff kann maximal _dieses_ System kompromittieren. Dann kommen _gar keine_ Pakete mehr über den Router. Das ist zwar ärgerlich, aber nicht gefährlich.

                Firewall, Router, ... - da fallen schon die richtigen Worte ;-)

                Erst einmal die grausam schlimme Nachricht: Auf dem System läuft Windows (ohhh!!!), zudem (*schaugeradebeihierinstallierterfirewallnach*) sind im Moment ganz genau 35 Ports "offen", bzw. Dienste lauschen dran. Die sind alle fein sortiert und nur die, die sollen, dürfen auch Lauschen, bei allen anderen heißt es: Ohren zu!.
                Die offenen Ports also nur für interne Netzwerkdienste, Druckerfreigaben, Festplattenfreigaben, usw.

                Ja, ich sitze hinter einem Router. Und auf dem ist eine "Paketfirewall" installiert (Paketfilter) sowie sogar eine DoS-Abwehr ;-) [bringt aber hier nix richtiges zur sache, außer dass es nun nicht möglich sein sollte, offene ports von außen auszuspionieren oder so]. Ein eingehender Port 80 von außerhalb des LAN wird dann per NAT direkt zu meinem Port 80 auf dem betreffenden zielcomputer, von dem die Rede war, übertragen.

                Entsprechend kann auch nix über dumme, mit sicherheitslücken einkompilierte (;-) Windows-Serverdienste oder sonstwas reinkommen, das ist von außen her alles dicht, das heißt also, dass dann erst ein Programm (Virus, Trojaner,...) sich hier einschleichen müsste und nen Port öffnen müsste (dort zu lauschen). Um das zu tun, bräuchte es aber wieder die Berechtigung der Firewall, die hier lokal läuft, und die erlaubt das nicht. Da gibt es natürlich auch die Tools, die die Firewalls dann unschädlich machen, aber meine ist eine relativ alte ;-)

                Ansonsten ging es mir jetzt eigentlich nicht um Firewalls oder offene Ports, sondern eher um Sicherheitslücken im Apachen.

                WauWau

                --
                ss:) zu:) ls:& fo:) de:] va:) ch:° n4:( rl:( br:^ js:| ie:% fl:{ mo:|
                E-Mail WauWau: [mailto:der-wauwau@gmx.de]
                1. Hallo,

                  Ansonsten ging es mir jetzt eigentlich nicht um Firewalls oder offene Ports, sondern eher um Sicherheitslücken im Apachen.

                  Ja, die gibt es immer wieder, wie bei jeder anderen Software auch. Du kannst Dich darüber informieren, z.B. auf der von mir im ersten Antwortposting verlinkten Präsenz. Die letzte dort beschriebene Sicherheitslücke des Apache ist diese: http://www.security-focus.com/bid/10212/discussion/

                  Schützen kannst Du dich nur, indem Du mit Aktualisierungen und Patches immer auf dem neuesten Stand bleibst, oder, bei Open-Source-Software, die Quellen selbst auf Sicherheitslücken prüfst und diese dann schließt.

                  viele Grüße

                  Axel

                  1. Hallo Axel,

                    Ansonsten ging es mir jetzt eigentlich nicht um Firewalls oder offene Ports, sondern eher um Sicherheitslücken im Apachen.
                    Ja, die gibt es immer wieder, wie bei jeder anderen Software auch. Du kannst Dich darüber informieren, z.B. auf der von mir im ersten Antwortposting verlinkten Präsenz. Die letzte dort beschriebene Sicherheitslücke des Apache ist diese: http://www.security-focus.com/bid/10212/discussion/

                    hört sich ja böse an, der Artikel ;)

                    Schützen kannst Du dich nur, indem Du mit Aktualisierungen und Patches immer auf dem neuesten Stand bleibst, oder, bei Open-Source-Software, die Quellen selbst auf Sicherheitslücken prüfst und diese dann schließt.

                    hmm.... naja, immer mal wieder einen neuen Apachen runterzuladen ist auch nicht das wahre ;)

                    WauWau

                    --
                    ss:) zu:) ls:& fo:) de:] va:) ch:° n4:( rl:( br:^ js:| ie:% fl:{ mo:|
                    E-Mail WauWau: [mailto:der-wauwau@gmx.de]
                    1. Moin!

                      hmm.... naja, immer mal wieder einen neuen Apachen runterzuladen ist auch nicht das wahre ;)

                      Doch, das ist die einzige Möglichkeit, erkannte und bereinigte Sicherheitslücken auszumerzen.

                      Wenn du nicht auf dem aktuellsten Stand gehst, bist du anfällig für alle in der älteren Version erkannten Sicherheitslücken - für die es in der Regel schon kurz nach Bekanntwerden der Lücke entsprechende Software gibt, die das ausnutzt.

                      Also entweder fragst du nicht nach Sicherheit - dann kannst du deinen Apachen gerne so lassen, wie er mal war, darfst dich dann aber auch nicht beschweren, wenn du gehackt wirst (denn das ist im Prinzip auch mit deinem Router problemlos möglich, da ja Port 80 des Apachen erreichbar ist).

                      Oder du fragst nach Sicherheit, kriegst als Antwort "Immer die neueste Version deiner Serversoftware verwenden", und hälst dich dran. Einen Apache für Windows neuzuinstallieren ist ja nun wirklich kein Aufwand, oder?

                      - Sven Rautenberg

                      1. Hallo Sven,

                        hmm.... naja, immer mal wieder einen neuen Apachen runterzuladen ist auch nicht das wahre ;)
                        Doch, das ist die einzige Möglichkeit, erkannte und bereinigte Sicherheitslücken auszumerzen.

                        Klar. Aber ich habe irgendwie keine Lust auf den Aufwand ;-)

                        Wenn du nicht auf dem aktuellsten Stand gehst, bist du anfällig für alle in der älteren Version erkannten Sicherheitslücken - für die es in der Regel schon kurz nach Bekanntwerden der Lücke entsprechende Software gibt, die das ausnutzt.

                        Hm... wie ist dass den mit Servern hier im Internet? Da laufen noch Apache 1.3.2x-sonstwas drauf ;-)
                        Oder wird hier z.B. beim forenapachen jede neue version sofort draufgespielt?

                        (denn das ist im Prinzip auch mit deinem Router problemlos möglich, da ja Port 80 des Apachen erreichbar ist).

                        Wie meinst du das? Wenn man den Router "von außen" auf Port 80 aufruft, dann geht das direkt zu meinem Computer "durch". Der Router betreibt ansonsten afaik nix weiteres an Servern online, höchstens noch die ganzen Internet-Verbinde-"Dinge" ;-) (ich weiß ja nicht, wie man sie nennen soll, sorry ;)

                        Oder du fragst nach Sicherheit, kriegst als Antwort "Immer die neueste Version deiner Serversoftware verwenden", und hälst dich dran. Einen Apache für Windows neuzuinstallieren ist ja nun wirklich kein Aufwand, oder?

                        naja - ein bisschen Aufwand ist immer dabei. Mal sehen was sich da machen lässt ;-)

                        WauWau

                        --
                        ss:) zu:) ls:& fo:) de:] va:) ch:° n4:( rl:( br:^ js:| ie:% fl:{ mo:|
                        E-Mail WauWau: [mailto:der-wauwau@gmx.de]
                        1. Moin!

                          hmm.... naja, immer mal wieder einen neuen Apachen runterzuladen ist auch nicht das wahre ;)
                          Doch, das ist die einzige Möglichkeit, erkannte und bereinigte Sicherheitslücken auszumerzen.

                          Klar. Aber ich habe irgendwie keine Lust auf den Aufwand ;-)

                          Dann lebe mit den möglichen Konsequenzen.

                          Hm... wie ist dass den mit Servern hier im Internet? Da laufen noch Apache 1.3.2x-sonstwas drauf ;-)

                          Es gibt ja schließlich auch zwei Apache-Serien: 1.3.x und 2.0.x. Da die 1.3er-Serie weiterhin aktuell gehalten wird, weil sie ausgiebigst getestet und bekannt ist, besteht für einen Betreiber kein Grund, unnötig auf Apache2 zu setzen. Hierbei können nämlich durchaus Probleme in der Zusammenarbeit mit anderen Programmen auftreten. PHP war beispielsweise nicht von Anfang an (Version 2.0.0) als Modul benutzbar.

                          Oder wird hier z.B. beim forenapachen jede neue version sofort draufgespielt?

                          Es werden dann neue Versionen aufgespielt, wenn sicherheitsrelevante Bugs, die für die hiesige Installation relevant werden könnten, geschlossen wurden. Bugfixes, die z.B. nur Windows betreffen oder Dinge ändern, die hier gar nicht benutzt werden, dann kann der informierte Sysadmin auf ein Update durchaus auch verzichten. Aber würdest du dich selbst als informierten Sysadmin bezeichnen?

                          (denn das ist im Prinzip auch mit deinem Router problemlos möglich, da ja Port 80 des Apachen erreichbar ist).

                          Wie meinst du das? Wenn man den Router "von außen" auf Port 80 aufruft, dann geht das direkt zu meinem Computer "durch". Der Router betreibt ansonsten afaik nix weiteres an Servern online, höchstens noch die ganzen Internet-Verbinde-"Dinge" ;-) (ich weiß ja nicht, wie man sie nennen soll, sorry ;)

                          Alle denkbaren Angriffe auf den Apache-Webserver müssen zwangsläufig den Port 80 benutzen, da ein anderer Zugang zum Dienst ja nicht existiert. Und dafür ist es vollkommen egal, ob dein Router die Datenpakete nun weiterleitet, oder ob der Rechner direkt am Netz hängen würde.

                          Insofern ist dein Apache eben zu 100% online und auch angreifbar, trotz Router. Besser, wenn du da eine aktuelle Version ohne bekannte Lücken benutzt.

                          - Sven Rautenberg

                          1. Hallo Sven,

                            Hm... wie ist dass den mit Servern hier im Internet? Da laufen noch Apache 1.3.2x-sonstwas drauf ;-)

                            Es gibt ja schließlich auch zwei Apache-Serien: 1.3.x und 2.0.x. Da die 1.3er-Serie weiterhin aktuell gehalten wird, weil sie ausgiebigst getestet und bekannt ist, besteht für einen Betreiber kein Grund, unnötig auf Apache2 zu setzen. Hierbei können nämlich durchaus Probleme in der Zusammenarbeit mit anderen Programmen auftreten. PHP war beispielsweise nicht von Anfang an (Version 2.0.0) als Modul benutzbar.

                            Nunja, das PHP-Modul ist bei mir wunderbar mit Apache 2.0.48 nutzbar.

                            Es werden dann neue Versionen aufgespielt, wenn sicherheitsrelevante Bugs, die für die hiesige Installation relevant werden könnten, geschlossen wurden. Bugfixes, die z.B. nur Windows betreffen oder Dinge ändern, die hier gar nicht benutzt werden, dann kann der informierte Sysadmin auf ein Update durchaus auch verzichten. Aber würdest du dich selbst als informierten Sysadmin bezeichnen?

                            *g* - sagen wir mal "noch nicht" ;)

                            Aber was nicht ist kann ja durchaus noch werden ;-)

                            (denn das ist im Prinzip auch mit deinem Router problemlos möglich, da ja Port 80 des Apachen erreichbar ist).
                            Wie meinst du das? Wenn man den Router "von außen" auf Port 80 aufruft, dann geht das direkt zu meinem Computer "durch". Der Router betreibt ansonsten afaik nix weiteres an Servern online, höchstens noch die ganzen Internet-Verbinde-"Dinge" ;-) (ich weiß ja nicht, wie man sie nennen soll, sorry ;)
                            Alle denkbaren Angriffe auf den Apache-Webserver müssen zwangsläufig den Port 80 benutzen, da ein anderer Zugang zum Dienst ja nicht existiert. Und dafür ist es vollkommen egal, ob dein Router die Datenpakete nun weiterleitet, oder ob der Rechner direkt am Netz hängen würde.

                            genau. Deswegen habe ich ja gefragt, was das mit dem Router zu tun hat.

                            Insofern ist dein Apache eben zu 100% online und auch angreifbar, trotz Router. Besser, wenn du da eine aktuelle Version ohne bekannte Lücken benutzt.

                            Hm.... mein Apache ist nur so lange online, wie mein Router an ist, eine Verbindung zum Internet hat/hält und mein Computer, auf dem der Apache an ist, läuft. Das ist überaus selten der Fall ;)

                            Darüberhinaus sollte mein kleines Compilein hier sowieso niemandem
                            von der Domain her bekannt sein ;-)

                            Ach, und mein Upstream beträgt zudem noch etwa ISDN-Geschwindigkeit ;-)

                            Und bezüglich Apache-Älterung: Ist 2.0.48 alt?

                            ich werde mich mal auf der http://www.apache.org-Seite erkundigen :)

                            WauWau

                            --
                            ss:) zu:) ls:& fo:) de:] va:) ch:° n4:( rl:( br:^ js:| ie:% fl:{ mo:|
                            E-Mail WauWau: [mailto:der-wauwau@gmx.de]
                            1. Hallo,

                              Noch mal ein Nachtrag: Ich habe den Apachen 2.0.48, momentan gibt es bereits den 2.0.49.

                              Bugfixes in 2.0.49:

                              * SECURITY: CAN-2004-0174 (cve.mitre.org) Fix starvation issue on
                                listening sockets where a short-lived connection on a
                                rarely-accessed listening socket will cause a child to hold the
                                accept mutex and block out new connections until another connection
                                arrives on that rarely-accessed listening socket. With Apache 2.x
                                there is no performance concern about enabling the logic for
                                platforms which don't need it, so it is enabled everywhere except
                                for Win32. [Jeff Trawick]

                              *hihi* - und isch nutze ja gerade Win32 ;-)

                              * SECURITY: CAN-2004-0113 (cve.mitre.org) mod_ssl: Fix a memory leak n
                                plain-HTTP-on-SSL-port handling. PR 27106. [Joe Orton]

                              Nö, SSL brauche und benutze ich nicht :)

                              * SECURITY: CAN-2003-0020 (cve.mitre.org) Escape arbitrary data before
                                writing into the errorlog. Unescaped errorlogs are still possible
                                using the compile time switch "-DAP_UNSAFE_ERROR_LOG_UNESCAPED".
                                [Geoffrey Young, André Malo]

                              und wegen ein paar mehr Funktionchen im errorlog werde ich mir jetzt nicht die Mühe machen, mir nen neuen, aber fast gleichen Apachen runterzuladen ;-)

                              Habe gerade festgestellt, dass ich wunderbar sicher lebe :)

                              wie schön :))

                              gruß,

                              WauWau

                              --
                              ss:) zu:) ls:& fo:) de:] va:) ch:° n4:( rl:( br:^ js:| ie:% fl:{ mo:|
                              E-Mail WauWau: [mailto:der-wauwau@gmx.de]
                              1. TITEL "Totsicherer nachtrag"

                                Habe gerade festgestellt, dass ich wunderbar sicher lebe :)

                                Naja, vielleicht übertreibe ich mit meiner Sicherheit auch ein bisschen ;-)

                                Ist aber auch egal ;-)

                                WauWau

                                --
                                ss:) zu:) ls:& fo:) de:] va:) ch:° n4:( rl:( br:^ js:| ie:% fl:{ mo:|
                                E-Mail WauWau: [mailto:der-wauwau@gmx.de]
          2. Hallo,

            Firewalls arbeiten als Paketfilter. Sie prüfen also Pakete, die auf bestimmte Ports zielen, nach bestimmten Regeln.
            Falsch. Firewalls sind nicht zwingend Paketfilter. Firewalls sind eigentlich überhaupt keine Software, sondern ein Konzept welches dann zum Beispiel Paketfilter enthalten kann.

            Das ist richtig. Ich meinte die Firewalls, deren Wirken irgendwie mit offenen Ports zusammenhängt.

            Denkbar wäre aber auch ein Filter auf Applikationsebene, der dann beispielsweise direkt http analysiert und zum Beispiel ungültige Anfrageformate herausfiltert oder was weiß ich.

            Ja, allerdings hat der die selben Schwächen, die ich bereits nannte. Und _der_ schließt mit Sicherheit keine Ports. Der andere übrigens auch nicht. Eine Firewall hat nur Sinn, wenn sie ein eigenständiges System ist und nicht auf und in dem zu schützenden System läuft.

            viele Grüße

            Axel

    2. Hallo!

      netstat -an

      Mag fragen: Wie bekomme ich mit oben stehenden Befehl als offen gezeigte Türen zu?

      Danke!
      Viennamade

      PS.: Nicht funktionierts bei mir mit:

      "La vache die Kuh, le boeuf der Ochs
      fermez la porte, die Türe zu!

      1. Hallo,

        netstat -an

        Mag fragen: Wie bekomme ich mit oben stehenden Befehl als offen gezeigte Türen zu?

        Der Befehl zeigt die offenen Türen nur an. Geöffnet werden sie durch Dienste, die Serversockets haben, welche hinter diesen Türen warten.

        Du bekommst die Türen zu, indem Du die entsprechenden Dienste beendest.

        viele Grüße

        Axel

        1. Hallo!

          netstat -an
          Mag fragen: Wie bekomme ich mit oben stehenden Befehl als offen gezeigte Türen zu?
          Der Befehl zeigt die offenen Türen nur an. Geöffnet werden sie durch Dienste, die Serversockets haben, welche hinter diesen Türen warten.

          OK, die Typen die da hinter den Türen lauern, die werde ich mir demnächst vorknöpfen. Mal schauen, wie leicht die kalt zu machen sind ;-)

          Danke!
          Viennamade

          1. Hallo,

            OK, die Typen die da hinter den Türen lauern, die werde ich mir demnächst vorknöpfen. Mal schauen, wie leicht die kalt zu machen sind ;-)

            http://www.computer-security.ch/ids/default.asp?TopicID=164

            viel Erfolg

            Axel

  2. Hi!

    Der Titel sagt es schon voll und ganz aus: Wie angreifbar ist ein PC, der lediglich über Port 80 (nix anderes) zu erreichen ist? Ich meine, hier geht es ja dann lediglich um den Apachen.

    Das kann man nicht so pauschal sagen. Vorausgesetzt Du bist Dir wirklich sicher dass nur Port 80 offen ist...
    Dazu muss man wissen welches Betriebssystem, welche (Version, SP, Kernel...), welche Apache-Version, welche Module (ggfs. welche Version), wie ist der Apache konfiguriert, unter welchem User läuft der Apache, ggfs. die Scripte, welche Rechte hat dieser User im System, was genau soll der Apache machen... wenn da z.B. ne schön alte Postnuke-Version drauf läuft, kombiniert mit einem ein paar Monate alten Kernel(im Fall von Linux), dann ist es für das nette Script-Kiddie von nebenan kein Thema sich mal eben root-Rechte auszuleihen...

    Was ließe sich da jetzt so rein angriffstechnisch machen?

    Das lässt sich beim besten Willen nicht pauschal beantworten.

    Grüße
    Andreas

    --
    SELFHTML Linkverzeichnis: http://aktuell.de.selfhtml.org/links/
    1. Hallo Andreas,

      Das kann man nicht so pauschal sagen. Vorausgesetzt Du bist Dir wirklich sicher dass nur Port 80 offen ist...

      hundertprozentig. Siehe die anderen Postings :)

      Dazu muss man wissen welches Betriebssystem,

      Windows 2000 ;-) *bg*

      welche (Version, SP, Kernel...),

      hmmm... "Proffessional" ;-)

      welche Apache-Version,

      2.0.48. Dazu siehe [pref:t=80078&m=465282]

      welche Module (ggfs. welche Version),

      hmmm...

      php4_module,
      mod_access,
      mod_actions,
      mod_alias,
      mod_asis,
      mod_auth,
      mod_autoindex,
      mod_cgi,
      mod_dir,
      mod_env,
      mod_include,
      mod_log_config,
      mod_mime,
      mod_negotation,
      mod_rewrite,
      mod_setenvif

      *g* - nicht das das was bringen sollte ;-). Afaik ist meine Apache-Version sowieso fast-ganz-neu, siehe [pref:t=80078&m=465282]

      wie ist der Apache konfiguriert,

      Hier die httpd.conf:

      *bg* ;-) ich glaube, ich verschone das Forum lieber damit.

      unter welchem User läuft der Apache,

      Mist, ich bin immer noch als Admin eingeloggt. eigentlich wollte ich mir mal nur noch die normale-benutzer-rechte geben, falls wiedererwarten meinem Comp was böswilliges von innen passieren sollte (virus....)... ;)

      ggfs. die Scripte, welche Rechte hat dieser User im System,

      Ich bin der Boss, jawohl :)

      was genau soll der Apache machen...

      Momentan etwa auf Anfrage bis zu 20.000 Dateien variiert zurückgeben. Und eine ganze Menge CGI-scripts, ja. Also von den 20.000 sind etwa 5.000 PHP-dateien *g*

      wenn da z.B. ne schön alte Postnuke-Version drauf läuft,

      Nix gegen CMS, aber ich mag meine eigenen Systeme lieber ;-) - da kommt mir kein CMS ins haus. Oder heißt das nicht etwa CMS? *nixweiß* ;-)

      kombiniert mit einem ein paar Monate alten Kernel(im Fall von Linux), dann ist es für das nette Script-Kiddie von nebenan kein Thema sich mal eben root-Rechte auszuleihen...

      Wie definierst du denn ein Script-Kiddie? Bei mir waren das immer mit JavaSCript angebende kleine poplige Windows-Kiddies, mehr nicht. ;-)

      Was ließe sich da jetzt so rein angriffstechnisch machen?
      Das lässt sich beim besten Willen nicht pauschal beantworten.

      Na gut, war auch nur so eine Idee ;-)

      Und ich habe ja sowieso "herausgefunden", dass ich mit meinem Apachen recht gut bedient bin, siehe [pref:t=80078&m=465282].

      Gruß,

      WaUWau

      --
      ss:) zu:) ls:& fo:) de:] va:) ch:° n4:( rl:( br:^ js:| ie:% fl:{ mo:|
      E-Mail WauWau: [mailto:der-wauwau@gmx.de]
      1. Hallo!

        Das kann man nicht so pauschal sagen. Vorausgesetzt Du bist Dir wirklich sicher dass nur Port 80 offen ist...

        hundertprozentig. Siehe die anderen Postings :)

        So 100%ig ist das nicht, hab ich auch gedacht, aber teilweise ist es möglich auch gesperrte Ports zu sehen. Ist aber sicher nicht so einfach das auszunutzen.

        Dazu muss man wissen welches Betriebssystem,

        Windows 2000 ;-) *bg*

        welche (Version, SP, Kernel...),

        hmmm... "Proffessional" ;-)

        Ich hoffe mit aktuellen Sicherheitspatches/Service-Pack (SP4)

        unter welchem User läuft der Apache,

        Mist, ich bin immer noch als Admin eingeloggt.

        Das hat ja nichts damit zu tun unter welchem User der Apache läuft... allerdings kenne ich mich mit Diensten unter Windows selbst nicht so richtig aus...

        eigentlich wollte ich mir mal nur noch die normale-benutzer-rechte geben, falls wiedererwarten meinem Comp was böswilliges von innen passieren sollte (virus....)... ;)

        Solltest Du - ja.

        ggfs. die Scripte, welche Rechte hat dieser User im System,

        Ich bin der Boss, jawohl :)

        Dann ist derjenige der ein Leck in einem Deiner Scripte, oder einen Exploit ausnutzt ebenfalls der Boss ;-)

        was genau soll der Apache machen...

        Momentan etwa auf Anfrage bis zu 20.000 Dateien variiert zurückgeben. Und eine ganze Menge CGI-scripts, ja. Also von den 20.000 sind etwa 5.000 PHP-dateien *g*

        5000? Alle von Dir?

        wenn da z.B. ne schön alte Postnuke-Version drauf läuft,

        Nix gegen CMS, aber ich mag meine eigenen Systeme lieber ;-) - da kommt mir kein CMS ins haus. Oder heißt das nicht etwa CMS? *nixweiß* ;-)

        Ja, das ist schonmal besser, allerdings darfst Du Dir auch keine Löcher in Deine Scripte einbauen, so Sachen wie "include($_GET['file'])"...

        kombiniert mit einem ein paar Monate alten Kernel(im Fall von Linux), dann ist es für das nette Script-Kiddie von nebenan kein Thema sich mal eben root-Rechte auszuleihen...

        Wie definierst du denn ein Script-Kiddie? Bei mir waren das immer mit JavaSCript angebende kleine poplige Windows-Kiddies, mehr nicht. ;-)

        pubertärer, meist männlicher Zeitgenosse, der ein paar Programme kennt mit denen er blöde Sachen machen kann, und von sich glaubt er sei ein böser Hacker.

        Bedenke dass Dein Computer für jedermann erreichbar ist, enthält Dein Betriebssystem, der Apache, ein Apache-Mdoul oder ein PHP-Script ein entsprechendes Sicherheitsloch, und der Server läuft mit Administrator Rechten, dann kannst Du Probleme bekommen.

        Grüße
        Andreas

        --
        SELFHTML Linkverzeichnis: http://aktuell.de.selfhtml.org/links/
        1. Moin!

          Mist, ich bin immer noch als Admin eingeloggt.
          Das hat ja nichts damit zu tun unter welchem User der Apache läuft... allerdings kenne ich mich mit Diensten unter Windows selbst nicht so richtig aus...

          Ok. Da helfe ich mal, obwohl ich schon einige Zeit kein Windows mehr habe:

          Der Apache wird unter Winnt/2k/xp so installiert, dass er als Dienst mit der Kennung des Systems läuft, ist also theorethisch mächtiger als der Administrator! DAS IST KREUZGEFÄHRLICH! - Weil ein unsicheres Skript hier gleich zu Katastrophen führen kann, schleißlich wird es im Kontext des Benutzers "System" ausgeführt.

          Das ernste Problem kann behoben werden.
          1. Einen Benutzer (einfacher Benutzer, nicht Hauptbenutzer!) anlegen.
          2. Diesem Rechte (Lesen, schreiben) am Apache- Ordner geben und diese vererben lassen.
          3. In der Dienstkonfiguration dem Apache diesen Benutzer zuweisen, zweimal Passwort reinklimpern, sich freuen, dass das System dem Benutzer das Recht zum Anmelden als Dienst zugewiesen hat.
          4. Überall Verzeichnisse durchsuchen und der Gruppe "jeder" die Rechte entziehen, diese existierenden Benutzern/Gruppen zuweisen.
          5. net stop apache2 / net start apache2 an der Eingabeaufforderung (oder den Indio in der Diensteverwaltung neu starten)

          Ich grüße den älteren Herrn, der auf dem Chemnitzer Linuxtag war und das trotz langer Diskussion nach meinem Vortrag absolut nicht annehmen wollte....

          MFFG (Mit freundlich- friedfertigem Grinsen)

          fastix®

          --
          Als Freiberufler bin ich immer auf der Suche nach Aufträgen: Schulungen, Development. Auch  für seriöse Agenturen.