防止用户列出 Apache 服务器帐户

防止用户列出 Apache 服务器帐户

我正在管理一个 Apache 服务器(Centos 5.6 + cPanel),我发现了一个列出服务器中托管的所有用户帐户的代码。

我想知道是否应该在 Apache 配置中进行一些更改以阻止用户这样做。

这是.htaccess 代码:

Options FollowSymLinks MultiViews Indexes ExecCGI

AddType application/x-httpd-cgi .pl

AddHandler cgi-script .pl
AddHandler cgi-script .pl

.pl 代码如下:

open (d0mains, '/etc/named.conf') or $err=1;
@kr = ;
close d0mains;
if ($err){
print (' 

C0uldn\'t Bypass it , Sorry

'); die(); }else{ print ' 

H3r3 !s 411 D0m4!ns & Us3rs :

';} foreach my $one (@kr) { if($one =~ m/.*?zone "(.*?)" {/){ $filename= "/etc/valiases/".$1; $owner = getpwuid((stat($filename))[4]); print ''.$1.' : '.$owner.'

'; } }

答案1

好吧,您可以修改 Apache 配置以阻止用户运行动态内容;这将解决这个问题,但代价是基本上要对大多数形式的托管服务器进行调整。另一方面,您可以广泛修改动态内容的运行方式(包括 chrooting)以防止出现此问题,但这将是一项艰巨的工作(而且它非常技术性,如果您不知道自己在做什么,很容易出现长时间的中断)。

说实话,我会选择 cPanel。这是他们的信息泄露漏洞,你付钱让他们来帮你解决。

答案2

实际上,用户不应该从其文档根目录之外读取任何内容,如果他们可以,那么您的服务器就有严重的安全漏洞。如果使用 apache 调用脚本,您可以禁用 FollowSymLinks 并可以启用 SymLinksIfOwnerMatch 来防止这种情况发生。您可以从 WHM >> 服务配置 >> Apache 配置 >> 全局配置(在目录“/”选项下)执行此操作。还请您的主机加强服务器安全性,以防止任何未来的攻击。

http://docs.cpanel.net/twiki/bin/view/AllDocumentation/WHMDocs/GlobalConfig

相关内容