我有一个相当标准的 VPS,运行 Ubuntu 8.1、Apache 2.2、PHP 5 等——标准 Lamp 堆栈。我正在使用 suhosin,并尽我所能插入显而易见的东西,因为我是唯一的用户——除了通过非标准端口上的公钥外,没有 SSH 访问权限,没有通过 SSH 的 root 访问权限,没有运行的 FTP 服务器,iptables 设置为丢弃基本上端口 80 或我的 SSH 端口之外的任何东西(没有邮件服务器或其他任何东西)。
但是,我仍然受到了攻击(据我所知还不算严重),可能是 SQL 注入。我已锁定 SQL 用户(除了 root 之外只有一个用户,并且他的权限有限,没有文件等)。
因此我运行了 nikto 来查看我做错了什么,结果出现了一系列我从未见过的内容,而且使用“find”或我所知道的任何其他方法都找不到。见下文:
+ /autologon.html?10514: Remotely Anywhere 5.10.415 is vulnerable to XSS attacks that can lead to cookie theft or privilege escalation. This is typically found on port 2000.
+ /servlet/webacc?User.html=noexist: Netware web access may reveal full path of the web server. Apply vendor patch or upgrade.
+ OSVDB-35878: /modules.php?name=Members_List&letter='%20OR%20pass%20LIKE%20'a%25'/*: PHP Nuke module allows user names and passwords to be viewed.
+ OSVDB-3092: /sitemap.xml: This gives a nice listing of the site content.
+ OSVDB-12184: /index.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000: PHP reveals potentially sensitive information via certain HTTP requests which contain specific QUERY strings.
+ OSVDB-12184: /some.php?=PHPE9568F36-D428-11d2-A769-00AA001ACF42: PHP reveals potentially sensitive information via certain HTTP requests which contain specific QUERY strings.
+ OSVDB-12184: /some.php?=PHPE9568F34-D428-11d2-A769-00AA001ACF42: PHP reveals potentially sensitive information via certain HTTP requests which contain specific QUERY strings.
+ OSVDB-12184: /some.php?=PHPE9568F35-D428-11d2-A769-00AA001ACF42: PHP reveals potentially sensitive information via certain HTTP requests which contain specific QUERY strings.
+ OSVDB-3092: /administrator/: This might be interesting...
+ OSVDB-3092: /Agent/: This might be interesting...
+ OSVDB-3092: /includes/: This might be interesting...
+ OSVDB-3092: /logs/: This might be interesting...
+ OSVDB-3092: /tmp/: This might be interesting...
+ ERROR: /servlet/Counter returned an error: error reading HTTP response
+ OSVDB-3268: /icons/: Directory indexing is enabled: /icons
+ OSVDB-3268: /images/: Directory indexing is enabled: /images
+ OSVDB-3299: /forumscalendar.php?calbirthdays=1&action=getday&day=2001-8-15&comma=%22;echo%20'';%20echo%20%60id%20%60;die();echo%22: Vbulletin allows remote command execution. See link
+ OSVDB-3299: /forumzcalendar.php?calbirthdays=1&action=getday&day=2001-8-15&comma=%22;echo%20'';%20echo%20%60id%20%60;die();echo%22: Vbulletin allows remote command execution. See link
+ OSVDB-3299: /htforumcalendar.php?calbirthdays=1&action=getday&day=2001-8-15&comma=%22;echo%20'';%20echo%20%60id%20%60;die();echo%22: Vbulletin allows remote command execution. See link
+ OSVDB-3299: /vbcalendar.php?calbirthdays=1&action=getday&day=2001-8-15&comma=%22;echo%20'';%20echo%20%60id%20%60;die();echo%22: Vbulletin allows remote command execution. See link
+ OSVDB-3299: /vbulletincalendar.php?calbirthdays=1&action=getday&day=2001-8-15&comma=%22;echo%20'';%20echo%20%60id%20%60;die();echo%22: Vbulletin allows remote command execution. See link
+ OSVDB-6659: /kCKAowoWuZkKCUPH7Mr675ILd9hFg1lnyc1tWUuEbkYkFCpCdEnCKkkd9L0bY34tIf9l6t2owkUp9nI5PIDmQzMokDbp71QFTZGxdnZhTUIzxVrQhVgwmPYsMK7g34DURzeiy3nyd4ezX5NtUozTGqMkxDrLheQmx4dDYlRx0vKaX41JX40GEMf21TKWxHAZSUxjgXUnIlKav58GZQ5LNAwSAn13l0w<font%20size=50>DEFACED<!--//--: MyWebServer 1.0.2 is vulnerable to HTML injection. Upgrade to a later version.
我了解跟踪和索引,但 vbulletin 和 autologin 呢?我搜索过了,在服务器上找不到任何类似的文件。我对“MyWebServer”、PHP Nuke 或 Netware/servlet 一无所知——除了一个相当标准的 Joomla 网站(已更新到最新版本)外,服务器上实际上什么也没有。
如果能对这些信息和/或我做错的事情提供任何帮助,我将非常感谢。
答案1
Nikto 会产生大量误报。您发布的大多数结果可能是也可能不是问题,需要人工检查。
Nikto 出现这样的警告是因为您启用了目录列表。
OSVDB-3092: /logs/: This might be interesting...
这被认为是一个轻微的信息泄露漏洞。要修补此漏洞,您可以修改 apache 配置:
Options -Indexes
另一个补丁是将空白的 index.html 页面放在这些文件夹中。
Nikto 还表示,您可能正在运行 PHP-Nuke 和 Vbulletin。这些应用程序中已发现漏洞,您或许易受攻击。如果您正在运行这些应用程序,请确保它们已完全更新。
您还应该做以下一些事情:
1)我强烈建议安装mod_security,默认规则集在防止利用方面相当出色。
2)确保您的 PHP Web 应用程序有自己的受限 MySQL 用户帐户。确保file_priv此帐户已被撤销。MySQL 文件权限是您可以赋予 Web 应用程序的最糟糕的东西之一。您还应确保它只能访问其工作所需的数据库。例如,授予用户帐户对 mysql.user 的访问权限将是一个错误。
3)运行PHPSecInfo并相应地修改 php.ini 文件。您不应该有任何 RED 错误。
4)运行开放虚拟应用系统这是 nessus 的免费版本。OpenVAS 将运行 Nikto 以及一系列其他测试。