PDA

Просмотр полной версии : Взлом апача


RazArt
16.01.2012, 04:10
Сегодня кто-то выполнил, предположительно, скуль-инъекцию на сервер знакомого. Были созданы аккаунты, которые крашили сервер(wow/trinitycore):


а03-065-00646

-==fender-==

-==styxx-==

ẞòùñtý

ẞñð

ẞpi


Хотя на сайте стоит фильтрация символов логина


preg_match("/^[a-zA-Z0-9_]+$/", $accname)

Логи апача с ip-адресом владельца этих аккаунтов:


89.221.201.166 - - [15/Jan/2012:00:27:26 -0800] "\xff\xf4\xff\xfd\x06" 200 5911
89.221.201.166 - - [13/Jan/2012:17:51:59 -0800] "e" 200 5911
89.221.201.166 - - [13/Jan/2012:17:52:09 -0800] "\xff\xf4\xff\xfd\x06s" 200 5911
89.221.201.166 - - [13/Jan/2012:18:00:50 -0800] "\xff\xf4\xff\xfd\x06" 200 5911
89.221.201.166 - - [13/Jan/2012:18:00:54 -0800] "\xff\xf4\xff\xfd\x06" 200 5911

Хотелось бы узнать что это означает. Версия апача 2.2.4

и скорее всего работа была через прокси сервера, но при логине с клинта игры в бд записывается его реальный айпишник, т.к. его скрыть довольно проблемотично

Pirotexnik
16.01.2012, 12:52
Хотелось бы узнать что это означает


Это означает, что кто-то


выполнил, предположительно, скуль-инъекцию на сервер знакомого


Смотрите логи скуля. логи ошибок. Сканируйте свой ресурс, закрывайте дыры.

p.s.


при логине с клинта игры в бд записывается его реальный айпишник, т.к. его скрыть довольно проблемотично


Да нет, Proxy Switcher справится с этой задачей за минуту.

P.S.S С сотым постом меня

RazArt
16.01.2012, 20:25
Я хотел узнать то означают конкретно это запросы

Логи скуля так и не нашёл (кто-нибудь знает где они в денвере лежат?)

Причём тут Proxy Switcher? браузер != клиент игры

justonline
16.01.2012, 21:21
Я хотел узнать то означают конкретно это запросы
Логи скуля так и не нашёл (кто-нибудь знает где они в денвере лежат?)
Причём тут Proxy Switcher? браузер != клиент игры


какая разница? да хоть пингом буду клацать. перенаправление трафика через проксификатор рулед

RazArt
17.01.2012, 00:05
Ясно, спс)

trololoman96
17.01.2012, 06:17
Что то не похоже на уязвимость апача


http://www.webhostingtalk.com/showthread.php?t=919066
https://bugzilla.redhat.com/show_bug.cgi?id=149100

ищите уязвимость в другом месте, скорей всего уязвимость в самом движке сайта, хотя может и в сборке сервера.