Ein paar Einträge in die apache access.log bereiten mir Kopfzerbrechen – SELFHTML-Forum Forum als Ergänzung zum SELFHTML-Wiki und zur Dokumentation SELFHTML https://forum.selfhtml.org/self?srt=yes Ein paar Einträge in die apache access.log bereiten mir Kopfzerbrechen Wed, 30 Mar 22 12:42:01 Z https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1797833?srt=yes#m1797833 https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1797833?srt=yes#m1797833 <p>Hallo,</p> <p>weil die betreffenden Requests mit mir nicht nachvollziehbaren HTTP-Statuscodes beantwortet wurden.</p> <p>Hier ein 200er:</p> <p>"HEAD /icons/sphere1.png HTTP/1.1" 200 5008 "</p> <p>obwohl es diesen Pfad nicht gibt (versteckte Pfade?). dagegen:</p> <p>"HEAD /icons/.%2e/%2e%2e/apache2/icons/sphere1.png HTTP/1.1" 400 4801 "</p> <p>Aber mehr noch sorgen mich 302er:</p> <p>"GET /.well-known/security.txt HTTP/1.1" 302 460 "<br> da erwarte und bekomme ich 404</p> <p>"GET /?a=fetch&content=<php>die(@md5(HelloThinkCMF))</php> HTTP/1.1" 302 557 "<br> da erwarte und bekomme ich 403</p> <p>Kann mir das jemand erklären?</p> <p>Dann gleich noch eine Frage zu dem Ordner cgi-bin. Dieser Ordner wird ja auch gern inspiziert. Ist es sinnvoll, dort Libraries wie phpmailer oder tcpdf reinzulegen?</p> <p>Gruß Claus</p> Ein paar Einträge in die apache access.log bereiten mir Kopfzerbrechen Wed, 30 Mar 22 13:05:53 Z https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1797836?srt=yes#m1797836 https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1797836?srt=yes#m1797836 <p>Hallo claus,</p> <p>Libraries - also Code, der nicht eigenständig läuft, sondern von Dir inkludiert wird, sollte in einem Ordner liegen, der vom Web aus nicht erreichbar ist.</p> <p>Also optimalerweise außerhalb des document root, oder wenn das nicht geht, in einem Order, der diese .htaccess Datei enthält:</p> <pre><code class="block">Deny from all </code></pre> <p>Sagt mir Stackoverflow jedenfalls - ich bin ja bekanntlich kein Apachologe.</p> <p>Das Gleiche gilt für Konfigurationsdateien. Entweder aus dem document root verbannen, in einen Deny From All Ordner sperren, oder so benennen, dass man sie in der .htaccess gegen Zugriffe aus dem Web sperren kann. Dann können sie nur noch von deinen PHP Scripten gelesen werden.</p> <p>Die Kopfologie hat mich allerdings leicht in Panik versetzt. Sowas kann gehen?! Gut, dass ich bei IIS bin (der hat andere Macken ).</p> <pre><code class="block">HEAD /icons/sphere1.png HTTP/1.1" 200 5008 HEAD /icons/.%2e/%2e%2e/apache2/icons/sphere1.png HTTP/1.1" 400 4801 </code></pre> <p>sind augenscheinlich verschiedene Pfade. %2e ist der Punkt, d.h. der zweite Head-Request möchte auf <code>/icons/../../apache2/icons/sphere1.php</code> zugreifen. Also: runter den <code>icons</code>-Ordner, von da aus zwei Ordnerstufen rauf und von da aus runter nach <code>apache2</code> und weiter nach <code>icons/sphere1.png</code> darin gibt.</p> <p>"Zwei hoch" - kann ja bei /icons gar nicht gehen? Tjaaa - ein Default-Apache aliased Dir in dein Documentroot einen /icons-Ordner hinein, dessen physikalischer Ort im Installationsordner des Apache liegt. Das kannst Du nur in der zentralen Apache Konfiguration abschalten, hab ich gerade gelesen, das kann man in der eigenen .htaccess nicht wegmachen. Das mag falsch oder veraltet sein, das wäre eine Frage an die Indianerhäuptlinge hier.</p> <p>Wenn es also dumm und fehlerhaft läuft, greifst Du mit /icons/../.. auf das Elternverzeichnis des Icons-Ordners zu, <strong>also auf die Apache-Installation</strong>, und wenn Du dann mit apache2/icons/sphere1.png Erfolg hast, weißt Du, dass der Indianer ein Loch in der Unterhose hat.</p> <p>Hätte er das Loch gefunden, hätte er darüber die Apache Konfiguration durchstöbern und ggf. Passworte abgreifen können.</p> <p><em>Rolf</em></p> <div class="signature">-- <br> sumpsi - posui - obstruxi </div> Ein paar Einträge in die apache access.log bereiten mir Kopfzerbrechen Wed, 30 Mar 22 13:14:57 Z https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1797837?srt=yes#m1797837 https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1797837?srt=yes#m1797837 <p>Hallo Claus,</p> <blockquote> <p>Hier ein 200er:</p> <p>"HEAD /icons/sphere1.png HTTP/1.1" 200 5008 "</p> <p>obwohl es diesen Pfad nicht gibt (versteckte Pfade?).</p> </blockquote> <p>Die Standardkonfiguration von Apache definiert /icons als ein Alias ins /icons-Verzeichnis der Apache-Istallation.</p> <blockquote> <p>"HEAD /icons/.%2e/%2e%2e/apache2/icons/sphere1.png HTTP/1.1" 400 4801 "</p> </blockquote> <p>Vom /icons-Verzeichnis zwei Ebenen nach oben (.%2e ist gleichbedeutend mit ..)?<br> Das darf nicht gelingen.</p> <blockquote> <p>"GET /.well-known/security.txt HTTP/1.1" 302 460 "<br> da erwarte und bekomme ich 404</p> </blockquote> <p>Das kann ich auch nicht erklären.</p> <blockquote> <p>"GET /?a=fetch&content=<php>die(@md5(HelloThinkCMF))</php> HTTP/1.1" 302 557 "<br> da erwarte und bekomme ich 403</p> </blockquote> <p>Aber vielleicht erst in der zweiten Runde. Status 302 ist ja ein Redirect auf eine andere Ressource. Kann es sein, dass die dann erst den 403 schmeißt?</p> <blockquote> <p>Kann mir das jemand erklären?</p> </blockquote> <p>Teilweise. Das sind typische Versuche, eine Sicherheitslücke des Webservers oder eines CMS zu finden. Bei dir finden sie anscheinend nichts.</p> <blockquote> <p>Dann gleich noch eine Frage zu dem Ordner cgi-bin. Dieser Ordner wird ja auch gern inspiziert.</p> </blockquote> <p>Brauchst du den überhaupt? in meinen bisherigen Hosting-Paketen hatte ich nie ein /cgi-bin - jedenfalls nicht in meinem Webspace. Vielleicht auch als Alias, das mag sein. Das war mir dann aber nicht zugänglich.</p> <p>Einen schönen Tag noch<br>  Martin</p> <div class="signature">-- <br> Мир для України. </div> Ein paar Einträge in die apache access.log bereiten mir Kopfzerbrechen Thu, 07 Apr 22 07:14:34 Z https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1798102?srt=yes#m1798102 https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1798102?srt=yes#m1798102 <p>Moin</p> <p>ich hab mal noch eine Frage zu den directory traversal Attacken</p> <p>Wenn ich über http-Requests zu Systemdateien kommen will, dann muss ich ausgehend vom Domain-Verzeichnis in der Dateistruktur hochklettern mit ../, ist das korrekt?</p> <p>das hab ich mal probiert und komme zu dem Ergebnis:</p> <pre><code class="block">https://example.org/../etc/passwd 404, wird zu https://example.org/etc/passwd https://example.org/../../etc/passwd 404, wird zu https://example.org/etc/passwd https://example.org/../../../etc/passwd 404, wird zu https://example.org/etc/passwd </code></pre> <p>Der Hoster teilt mir mit, dass das der Apache standardmäßig so macht, er hätte da nichts speziell konfiguriert. Und auch bei wikipedia wird dieses Beispiel gebracht.</p> <p>Wenn 90% der Webserver Apache sind, wieso wird dann in diesem Umfang auf diese Attacke gesetzt?</p> <p>Gruß Claus</p> Ein paar Einträge in die apache access.log bereiten mir Kopfzerbrechen Wed, 30 Mar 22 13:40:41 Z https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1797841?srt=yes#m1797841 https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1797841?srt=yes#m1797841 <p>Hallo Rolf</p> <p>danke erstmal.</p> <p>Der Ordner cgi-bin hat eine htaccess. Aber ich werde das alles woanders hinlegen.</p> <p>Claus</p> Ein paar Einträge in die apache access.log bereiten mir Kopfzerbrechen Wed, 30 Mar 22 13:51:43 Z https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1797842?srt=yes#m1797842 https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1797842?srt=yes#m1797842 <p>Hallo Martin</p> <blockquote> <p>Vom /icons-Verzeichnis zwei Ebenen nach oben (.%2e ist gleichbedeutend mit ..)? Das darf nicht gelingen.</p> </blockquote> <p>Weißt Du, wo das verhindert wird?</p> <blockquote> <p>Aber vielleicht erst in der zweiten Runde. Status 302 ist ja ein Redirect auf eine andere Ressource. Kann es sein, dass die dann erst den 403 schmeißt?</p> </blockquote> <p>[30/Mar/2022:01:51:46 +0200] "GET /.well-known/security.txt HTTP/1.1" 302 460 "-" "-" [30/Mar/2022:07:15:31 +0200] "GET /.well-known/security.txt HTTP/1.1" 404 5249 "-" "-"</p> <p>Ist das die 2. Runde? 1 Uhr und dann 7 Uhr? Von mir kam kein Redirect.</p> <blockquote> <p>Brauchst du den überhaupt? in meinen bisherigen Hosting-Paketen hatte ich nie ein /cgi-bin - jedenfalls nicht in meinem Webspace. Vielleicht auch als Alias, das mag sein. Das war mir dann aber nicht zugänglich.</p> </blockquote> <p>Also ich brauche cgi-bin nicht wirklich, mein Hoster hat eine Readme.txt reingelegt, da steht drin, ich solle die Programme darein legen. Irgendwie hängt doch dieser Ordner auch mit FastCGI zusammen oder ?</p> <p>Claus</p> Ein paar Einträge in die apache access.log bereiten mir Kopfzerbrechen Thu, 31 Mar 22 06:53:36 Z https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1797873?srt=yes#m1797873 https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1797873?srt=yes#m1797873 <blockquote> <blockquote> <p>"GET /.well-known/security.txt HTTP/1.1" 302 460 "<br> da erwarte und bekomme ich 404</p> </blockquote> <p>Das kann ich auch nicht erklären.</p> </blockquote> <p>[https://en.wikipedia.org/wiki/Well-known_URI](Well-known URI)</p> <p>Edit by Rolf B: <a href="https://en.wikipedia.org/wiki/Well-known_URI" rel="nofollow noopener noreferrer">https://en.wikipedia.org/wiki/Well-known_URI</a></p> Ein paar Einträge in die apache access.log bereiten mir Kopfzerbrechen Wed, 30 Mar 22 14:06:46 Z https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1797845?srt=yes#m1797845 https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1797845?srt=yes#m1797845 <p>Hi,</p> <blockquote> <blockquote> <p>Vom /icons-Verzeichnis zwei Ebenen nach oben (.%2e ist gleichbedeutend mit ..)? Das darf nicht gelingen.</p> </blockquote> <p>Weißt Du, wo das verhindert wird?</p> </blockquote> <p>nicht mit Gewissheit. Ich meine, das ist im Apache-Code hartcodiert.</p> <blockquote> <blockquote> <p>Aber vielleicht erst in der zweiten Runde. Status 302 ist ja ein Redirect auf eine andere Ressource. Kann es sein, dass die dann erst den 403 schmeißt?</p> </blockquote> <p>[30/Mar/2022:01:51:46 +0200] "GET /.well-known/security.txt HTTP/1.1" 302 460 "-" "-"<br> [30/Mar/2022:07:15:31 +0200] "GET /.well-known/security.txt HTTP/1.1" 404 5249 "-" "-"</p> <p>Ist das die 2. Runde? 1 Uhr und dann 7 Uhr?</p> </blockquote> <p>Nein, auf keinen Fall. Die beiden Aufrufe müssten im Abstand von Sekundenbruchteilen kommen.</p> <blockquote> <p>Von mir kam kein Redirect.</p> </blockquote> <p>Doch, der 302er um 01:51:46. Wohin der umleitet, erkennt man aus dem Protokolleintrag leider nicht. Aber wenn du den Request mal mit wget stellst, bekommst du es direkt angezeigt.</p> <p>Einen schönen Tag noch<br>  Martin</p> <div class="signature">-- <br> Мир для України. </div> Ein paar Einträge in die apache access.log bereiten mir Kopfzerbrechen Wed, 30 Mar 22 15:59:31 Z https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1797851?srt=yes#m1797851 https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1797851?srt=yes#m1797851 <p>Hallo Martin</p> <blockquote> <p>Doch, der 302er um 01:51:46. Wohin der umleitet, erkennt man aus dem Protokolleintrag leider nicht. Aber wenn du den Request mal mit wget stellst, bekommst du es direkt angezeigt.</p> </blockquote> <p>Also zumindest hab ich keinen location header gesetzt.</p> <p>Ich kann jetzt leider wget nicht installieren, habe nur ein eingeschränktes Konto. Muss ich auf übermorgen verschieben.</p> <blockquote> <p>[30/Mar/2022:01:51:46 +0200] "GET /.well-known/security.txt HTTP/1.1" 302 460 "-" "-"</p> </blockquote> <blockquote> <p>[30/Mar/2022:07:15:31 +0200] "GET /.well-known/security.txt HTTP/1.1" 404 5249 "-" "-"</p> </blockquote> <p>Aber ist das logisch, dass der gleiche Request unterschiedlich behandelt wird, einmal 302, dann später 404?</p> <p>Gruß Claus</p> Ein paar Einträge in die apache access.log bereiten mir Kopfzerbrechen Thu, 31 Mar 22 05:42:58 Z https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1797868?srt=yes#m1797868 https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1797868?srt=yes#m1797868 <blockquote> <p>Aber ist das logisch, dass der gleiche Request unterschiedlich behandelt wird, einmal 302, dann später 404?</p> </blockquote> <p>Sicher, dass es wirklich der gleiche Request ist? Denkbar wäre z.B. eine pauschale Weiterleitung von http-Requests nach https. Wobei man dafür besser 301 verwenden sollte.</p> http:://... → 302 || https://... → 404 Thu, 31 Mar 22 05:54:40 Z https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1797869?srt=yes#m1797869 https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1797869?srt=yes#m1797869 <blockquote> <p>Aber ist das logisch, dass der gleiche Request unterschiedlich behandelt wird, einmal 302, dann später 404?</p> </blockquote> <p><strong>Vermutlich</strong> war der erste Aufruf mit http://..., bekam die Weiterleitung zum https-Protokoll (302) und nachfolgend wurde es mit https:// versucht und erst jetzt bemühte sich der Indianer darum, überhaupt nach der Datei zu sehen: die gibt es nicht → 404.</p> <p>Der Zeitunterschied ist dadurch zu erklären, dass das kein normaler UserAgent (Browser) ist, sondern ein Programm, welches abertausende Webseiten „abklopft”. Die mit dem 302er gelieferte neue URL wird da in eine Jobliste eingereiht.</p> <p><strong>Wenn Du also selbst HTTPS erzwingst, dann ist das ganz normal.</strong> Abgesehen davon, dass (wie schon Martin schrieb) jemand nach unsicherem Zeug sucht. Das scheint ein Standard-Penetrationstest zu sein: Bei meinem Server @home wird auf den Versuch des Abrufs von <code>/\.well-known/</code> (und einer Liste anderer URLs) mit einer 60 Minuten-Sperre in der Firewall reagiert. Das scheint zu reichen.</p> http:://... → 302 || https://... → 404 Thu, 31 Mar 22 06:47:18 Z https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1797872?srt=yes#m1797872 https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1797872?srt=yes#m1797872 <blockquote> <p>Bei meinem Server @home wird auf den Versuch des Abrufs von <code>/\.well-known/</code> (und einer Liste anderer URLs) mit einer 60 Minuten-Sperre in der Firewall reagiert. Das scheint zu reichen.</p> </blockquote> <p>Toll. Ganz toll!</p> http:://... → 302 || https://... → 404 Fri, 01 Apr 22 05:18:11 Z https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1797906?srt=yes#m1797906 https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1797906?srt=yes#m1797906 <p>Moin Raketenwilli</p> <blockquote> <p>Wenn Du also selbst HTTPS erzwingst, dann ist das ganz normal.</p> </blockquote> <p>Ja, HSTS ist aktiviert. Besten Dank </p> <p>Gruß Claus</p> Ein paar Einträge in die apache access.log bereiten mir Kopfzerbrechen Thu, 31 Mar 22 07:01:09 Z https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1797874?srt=yes#m1797874 https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1797874?srt=yes#m1797874 <p>Hallo Linksetzer,</p> <p>das ging daneben.</p> <p>Entweder so: <code><url></code></p> <p>Oder so: <code>[Linktext](url)</code></p> <p>Siehe unten:</p> <p>Im Wiki erhalten Sie <strong><a href="https://wiki.selfhtml.org/wiki/SELFHTML:Forum/Formatierung_der_Beitr%C3%A4ge#Links" rel="nofollow noopener noreferrer">Hilfe bei der Formatierung Ihrer Beiträge</a></strong></p> <p><em>Rolf</em></p> <div class="signature">-- <br> sumpsi - posui - obstruxi </div> Ein paar Einträge in die apache access.log bereiten mir Kopfzerbrechen Thu, 07 Apr 22 07:29:24 Z https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1798104?srt=yes#m1798104 https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1798104?srt=yes#m1798104 <p>Hallo Claus,</p> <p>ich habe deine Domain ersetzt.</p> <p>Wenn Du vom Browser aus http://example.org/../foo/bar.dat oder http://example.org/foo/../../etc/hosts abrufst, wird das vom Browser schon normalisiert und kommt gar nicht beim Server an. Auch dann, wenn Du die Punkte als %2E maskierst. Das siehst Du in den Developer-Tools des Browsers.</p> <p>Du musst das schon unverfälscht mit einem Tool wie wget oder mit einem manuell programmierten HTTP Request zum Server bringen, und da setzt der Exploit an.</p> <p>Wenn der Server einen solchen Pfad vor Prüfung auf Zulässigkeit nicht normalisiert, und einfach nur das Directory Root mit dem vom Client kommenden Pfad verkoppelt, könnte dort ein Zugriffspfad wie</p> <p><code>/usr/web/example.org/icons/foo/../../evil</code></p> <p>entstehen. D.h. man läuft aus icons/foo hinaus und ist - vermeintlich - auf der Ebene von /usr/web/example.org. Dies <strong>scheint</strong> unverdächtig, wenn da nicht der Umstand wäre, dass icons Ordner vom Apache als Alias in jeden Web-Ordner hineingespiegelt wird. Warum?</p> <p>In der httpd.conf steht:</p> <pre><code class="block"># Fancy directory listings Include conf/extra/httpd-autoindex.conf </code></pre> <p>Und in httpd-autoindex.conf steht</p> <pre><code class="block"># We include the /icons/ alias for FancyIndexed directory listings. If # you do not use FancyIndexing, you may comment this out. # Alias /icons/ "${SRVROOT}/icons/" </code></pre> <p>Directory Listings verhindert eigentlich jeder, und trotzdem ist dieser Alias für Icons fast überall aktiv.</p> <p>Also: icons ist ein Ordner der Apache Installation, und ein falsch programmiertes System würde, wenn es erstmal in icons Ordner ist, mit ".." nach ${SRVROOT} kommen - dem Apache Installationsordner. Und wenn dieser Weg offen ist, hat man de facto Leserecht auf den ganzen Server.</p> <p>Ich nehme an, dass diese Lücke früher mal bestand und aktuelle Indianer Dir eins mit dem Tomahawk geben, wenn Du den Exploit versuchst.</p> <p><em>Rolf</em></p> <div class="signature">-- <br> sumpsi - posui - obstruxi </div> Ein paar Einträge in die apache access.log bereiten mir Kopfzerbrechen Thu, 07 Apr 22 07:43:11 Z https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1798106?srt=yes#m1798106 https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1798106?srt=yes#m1798106 <p>Danke Rolf.</p> Ein paar Einträge in die apache access.log bereiten mir Kopfzerbrechen Thu, 07 Apr 22 09:51:54 Z https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1798110?srt=yes#m1798110 https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1798110?srt=yes#m1798110 <blockquote> <p>In der httpd.conf steht:</p> <pre><code class="block"># Fancy directory listings Include conf/extra/httpd-autoindex.conf </code></pre> <p>Und in httpd-autoindex.conf steht</p> <pre><code class="block"># We include the /icons/ alias for FancyIndexed directory listings. If # you do not use FancyIndexing, you may comment this out. # Alias /icons/ "${SRVROOT}/icons/" </code></pre> <p>Directory Listings verhindert eigentlich jeder, und trotzdem ist dieser Alias für Icons fast überall aktiv.</p> <p>Also: icons ist ein Ordner der Apache Installation, und ein falsch programmiertes System würde, wenn es erstmal in icons Ordner ist, mit ".." nach ${SRVROOT} kommen - dem Apache Installationsordner. Und wenn dieser Weg offen ist, hat man de facto Leserecht auf den ganzen Server.</p> <p>Ich nehme an, dass diese Lücke früher mal bestand und aktuelle Indianer Dir eins mit dem Tomahawk geben, wenn Du den Exploit versuchst.</p> </blockquote> <p>Also wenn es je so gewesen wäre, dann hätte jemand an einem Teil der Apache-Konfiguration herumgepfuscht, der dort WIRKLICH keine Schreibrechte haben sollte:</p> <pre><code class="block language-apache"># Sets the default security model of the Apache2 HTTPD server. It does # not allow access to the root filesystem outside of /usr/share and /var/www. # The former is used by web applications packaged in Debian, # the latter may be used for local directories served by the web server. If # your system is serving content from a sub-directory in /srv you must allow # access here, or in any related virtual host. <Directory /> Options FollowSymLinks AllowOverride None ### Vormals: #deny from all ### Seit Apache 2.3 Require all denied </Directory> </code></pre> <p>(Ich hab das Original um drei Zeilen mit Kommentar bezüglich alter Versionen ergänzt.)</p> <p>Das verbietet dem Apache erst einmal Zeug auszuliefern, welches auch nur irgendwo im System liegt. Später wird es dann für bestimmte Verzeichnisse wieder erlaubt, aber mit einer Angabe von <code>/../</code> in der URL kommt man aus diesen nicht raus. Auch nicht mit einem Alias. Es sei denn der zeigt auf etwas explizit Erlaubtes.</p> Ein paar Einträge in die apache access.log bereiten mir Kopfzerbrechen Thu, 07 Apr 22 11:34:00 Z https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1798115?srt=yes#m1798115 https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1798115?srt=yes#m1798115 <p>Hallo Raketenwilli</p> <p>dann muss ich mir also keine Sorgen machen.</p> <p>Ich bin schließlich auch nur Nutzer (von Webspace), das ist dann Sache des Hosters, solchen Attacken zu begegnen, nicht wahr?</p> <p>Gruß Claus</p> Ein paar Einträge in die apache access.log bereiten mir Kopfzerbrechen Thu, 07 Apr 22 11:48:04 Z https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1798116?srt=yes#m1798116 https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1798116?srt=yes#m1798116 <blockquote> <p>Ich bin schließlich auch nur Nutzer (von Webspace), das ist dann Sache des Hosters, <a href="https://forum.selfhtml.org/self/2022/mar/30/ein-paar-eintrage-in-die-apache-access-log-bereiten-mir-kopfzerbrechen/1798110#m1798110" rel="noopener noreferrer">solchen Attacken</a> zu begegnen, nicht wahr?</p> </blockquote> <p>So ist es. Es gibt aber andere Attacken (auf Skripte, CMS wie z.B. Wordpress, Helfern wie PhpMyAdmin und Libarys) denen Du - soweit von Dir selbst installiert - auch selbst begegnen musst.</p>