Citat:
Citat:
|
Dubbelkolla att servern inte tillåter HTTP PUT någonstans, det kan hända att det var så de skickade upp filen, med HTTP PUT.
|
Eftersom jag inte är så hemma på denna typ av termer och har låtit min server konfigureras av webhotellet som jag ligger på så kanske du kan tala om hur jag kollar detta.
|
Eftersökningar med google visade exempel på statistikloggar där filer med liknande filnamn (fast filändelse med annorlunda siffror (vilka
verkar vara datum)) har laddats upp med HTTP PUT.
Andra sidor nämnde att det skulle röra sig om en trojan/applikation som ger hackaren tillgång till servern med de rättigheter som webbservern körs som (eftersom filen laddats upp
av och genom webbservern och därmed sparats av (och körs som) webbservern).
HTTP PUT är ett av de s.k. "verben" i HTTP protokollen. De vanligast förekommande är HTTP GET som används för att göra en helt vanlig request av ett webbdokument. HTTP POST är även vanligt, det används när man "postar" formulärdata. HTTP PUT:s funktion är att
ladda upp filer till webbservern, det och HTTP DELETE brukar vara avstängda eftersom de så gott som aldrig används. Detta verkar vara ett fall av ett ganska så grovt slarv av serveradministratören,
eller så har HTTP PUT använts i kombination med en svaghet i webbservern, de är de enda möjligheterna som jag ser, spontant.
Baserat på vad jag förstår så fungerar trojanen/applikationen som så att en HTTP GET request av den ger hackaren möjlighet att kontrollera servern med webbserver-användarens rättigheter, förmodligen genom att utlösa en buffer overflow som resulterar i en telnet-session.
Citat:
Citat:
|
Det är ju webbhotellet som ska skydda dej mot sånt...
|
Dom har en brandvägg installerad.
Jag har naturligtvis haft en dialog med dom där jag har berättat vad som har hänt.
|
Oj oj, det är ju allvarligt. Det innebär ju att
vad för typ av svaghet som hackarna än använde så finns den
kvar! Om det är som jag tror, att HTTP PUT har använts (möjligen i kombination med en svaghet i webbservern), så skyddar
ingen brandvägg mot dessa attacker, eftersom den öppna porten 80 som används för alla HTTP requests används.
Vad som måste göras är en
rigorös inventering, versionskontroll och säkerhetskontroll av webbserverns konfiguration, dess moduler, osv. Hela webbmiljön. Att döma av svaret du fått av serveradministratören så är din server
nu precis lika oskyddad/känslig som den var innan.