Evitar que os usuários listem contas do servidor Apache

1

Estou gerenciando um servidor Apache (Centos 5.6 + cPanel) e encontrei um código que lista todas as contas de usuários hospedadas no servidor.

Eu quero saber se há algo que eu deveria mudar na configuração do Apache para impedir que os usuários façam isso.

Este é o código do .htaccess:

Options FollowSymLinks MultiViews Indexes ExecCGI

AddType application/x-httpd-cgi .pl

AddHandler cgi-script .pl
AddHandler cgi-script .pl

E o código .pl:

open (d0mains, '/etc/named.conf') or $err=1;
@kr = ;
close d0mains;
if ($err){
print (' C0uldn\'t Bypass it , Sorry');
die();
}else{
print ' 
H3r3 !s 411 D0m4!ns & Us3rs :
';}
foreach my $one (@kr)
{
if($one =~ m/.*?zone "(.*?)" {/){
$filename= "/etc/valiases/".$1;
$owner = getpwuid((stat($filename))[4]);
print ''.$1.' : '.$owner.'
';
}
}
    
por bnabilos 14.08.2011 / 05:03

2 respostas

2

Bem, você pode modificar sua configuração do Apache para impedir que os usuários executem conteúdo dinâmico; Isso resolverá o problema às custas de basicamente dar um jeito em seu servidor para a maioria das formas de hospedagem. Por outro lado, você pode modificar extensivamente a forma como o conteúdo dinâmico é executado (incluindo o chrooting) para evitar esse problema, mas isso será muito trabalhoso (e é altamente técnico e propenso a longas interrupções se você não souber o que você está fazendo).

Honestamente, eu estaria participando do cPanel. É a vulnerabilidade de divulgação de informações e você está pagando para cuidar de você.

    
por 14.08.2011 / 05:22
0

Na verdade, os usuários não devem ler nada de fora de sua raiz de documentos e, se puderem, seu servidor tem uma séria falha de segurança. Se o script foi invocado usando o apache, você pode desativar o FollowSymLinks & pode ativar SymLinksIfOwnerMatch para / para evitar que isso aconteça. Você pode fazer isso no WHM > > Configuração de serviços > > Configuração do Apache > > Configuração Global (em Opções do Diretório '/'). Também peça ao seu host para reforçar a segurança do seu servidor para evitar futuros ataques.

link

    
por 19.08.2011 / 02:43