nicht angemeldet
Server-Angriffe: Welche Auswirkungen?
Matthias ApselHello,
hab mal wieder eine kleine Attacke im Log entdeckt. Per Methode Post, aber trotzdem über den URL-Parameter kam z.B. der folgende URL-codierte String
-d allow_url_include=on
-d safe_mode=off
-d suhosin.simulation=on
-d disable_functions=""
-d open_basedir=none
-d auto_prepend_file=php://input
-d cgi.force_redirect=0
-d cgi.redirect_status_env=0
-n
(Die Zeilenumbrüche habe ich eingefügt, damit man es besser lesen kann.
Wann könnte der Auswirkungen haben?
Welche hätte er dann?
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
Mahlzeit,
Wann könnte der Auswirkungen haben?
Bei einem Buffer-Overflow z.B.
Welcher konkrete Fall, kann ich nicht sagen.Welche hätte er dann?
Ich würde sagen, damit kann jeder beliebige Daten auf den Server laden, weil bei jedem Script auf einen Protokoll-Handler gehört wird.
Mag fachlich nicht richtig ausgedrückt sein, aber so würde ich es deuten ;)
--
42 -
Hello,
Hello,
hab mal wieder eine kleine Attacke im Log entdeckt. Per Methode Post, aber trotzdem über den URL-Parameter kam z.B. der folgende URL-codierte String
-d allow_url_include=on
-d safe_mode=off
-d suhosin.simulation=on
-d disable_functions=""
-d open_basedir=none
-d auto_prepend_file=php://input
-d cgi.force_redirect=0
-d cgi.redirect_status_env=0
-n> > (Die Zeilenumbrüche habe ich eingefügt, damit man es besser lesen kann. > > Wann könnte der Auswirkungen haben? > Welche hätte er dann? Die CLI-Hilfe sagt dazu: ~~~apache -d foo[=bar] Define INI entry foo with value 'bar' [/cose Was da im Einzelnen versucht wird, kann ich nur bedingt nachvollziehen: [code lang=apache] -d allow_url_include=on Includes per URL erlauben -d safe_mode=off Den Safemode ausschalten, damit auch fremde Scripte geladen werden können -d suhosin.simulation=on ? -d disable_functions="" Liste der verbotenen Funktionen ausschalten -d open_basedir=none Zugriff auf den gesamten für den Prozess-User erreichbaren Verzeichnisbaum freigeben -d auto_prepend_file=php://input Ein Vorlauf-Script über die Standardeingabe holen -d cgi.force_redirect=0 ? -d cgi.redirect_status_env=0 ? -n "Return" und ab damit...Nur steht der gesamte String mit ? angehängt als URL-Parameter.
Mir fehlt im Momant die Vorstellungskraft, wann der ggf. wirksam werden könnte.Der bräuchte doch eine Shell. Dann wäre es allerdings fatal.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
Om nah hoo pez nyeetz, Tom!
-d suhosin.simulation=on ?
suhosin ist eine PHP-Erweiterung zum Schutz von Servern suhosin.simulation - [Handbuch](http://www.hardened-php.net/suhosin/configuration.html#suhosin.simulation) Matthias -- Der Unterschied zwischen Java und JavaScript ist größer als der zwischen [Hort und Hortensie](http://selfhtml.apsel-mv.de/java-javascript/index.php?buchstabe=H#hort). 
-
-
Guten Tag.
Per Methode Post, aber trotzdem über den URL-Parameter kam z.B. der folgende URL-codierte String
-d allow_url_include=on
-d safe_mode=off
-d suhosin.simulation=on> Wann könnte der Auswirkungen haben? Wenn die Anfrage ungefiltert an den [PHP-Interpreter](http://de2.php.net/manual/en/features.commandline.options.php) gelangt (den selbst ausführbaren, nicht das Servermodul). > Welche hätte er dann? Das steht alles in der [PHP-Anleitung](http://php.net/manual/en/ini.core.php).