Evitar que os usuários listem contas do servidor Apache

Question

Evitar que os usuários listem contas do servidor Apache

#1 resposta do (2 votos)
#2 resposta do (0 votos)

1

Estou gerenciando um servidor Apache (Centos 5.6 + cPanel) e encontrei um código que lista todas as contas de usuários hospedadas no servidor.

Eu quero saber se há algo que eu deveria mudar na configuração do Apache para impedir que os usuários façam isso.

Este é o código do .htaccess:

Options FollowSymLinks MultiViews Indexes ExecCGI

AddType application/x-httpd-cgi .pl

AddHandler cgi-script .pl
AddHandler cgi-script .pl

E o código .pl:

open (d0mains, '/etc/named.conf') or $err=1;
@kr = ;
close d0mains;
if ($err){
print (' C0uldn\'t Bypass it , Sorry');
die();
}else{
print ' 
H3r3 !s 411 D0m4!ns & Us3rs :
';}
foreach my $one (@kr)
{
if($one =~ m/.*?zone "(.*?)" {/){
$filename= "/etc/valiases/".$1;
$owner = getpwuid((stat($filename))[4]);
print ''.$1.' : '.$owner.'
';
}
}

security perl apache-2.2

por bnabilos 14.08.2011 / 05:03

2 respostas

Tags security perl apache-2.2

Alterando a senha do eDirectory da máquina Linux top command indica um uso diferente da cpu do que o comando sar

score 2 · Answer 1

Bem, você pode modificar sua configuração do Apache para impedir que os usuários executem conteúdo dinâmico; Isso resolverá o problema às custas de basicamente dar um jeito em seu servidor para a maioria das formas de hospedagem. Por outro lado, você pode modificar extensivamente a forma como o conteúdo dinâmico é executado (incluindo o chrooting) para evitar esse problema, mas isso será muito trabalhoso (e é altamente técnico e propenso a longas interrupções se você não souber o que você está fazendo).

Honestamente, eu estaria participando do cPanel. É a vulnerabilidade de divulgação de informações e você está pagando para cuidar de você.

score 0 · Answer 2

Na verdade, os usuários não devem ler nada de fora de sua raiz de documentos e, se puderem, seu servidor tem uma séria falha de segurança. Se o script foi invocado usando o apache, você pode desativar o FollowSymLinks & pode ativar SymLinksIfOwnerMatch para / para evitar que isso aconteça. Você pode fazer isso no WHM > > Configuração de serviços > > Configuração do Apache > > Configuração Global (em Opções do Diretório '/'). Também peça ao seu host para reforçar a segurança do seu servidor para evitar futuros ataques.

link