Pirms pāris dienām saņēmu meilu no kāda lietotāja, kurš vēlējās kļūt par rakstu autoru. Sākumā nolēmu to nepublicēt, jo tajā bija aprakstīts kā uzlauzt BitTorrent trakerus un aprakstītā metode bija zināma jau vairāk nekā gadu, un, protams, nebija nekādas vēlmes uzrīdīt veselu baru skriptu bērneļu uz Latvijas un ārzemju trakeriem. Bet tagad netīšām uzduroties atkal šim meilam, pārdomāju, jo šī probēma ir globāla un attiecas ne tikai uz trakeriem, bet arī daudzām citām weblapām, kurās programmētāji nav ievērojuši elementārus drošības pasākumus.
Risinājums problēmai ir ļoti vienkāršs:
* Apache konfigurācijā neizmantot AddHandler, bet gan AddType, jo AddHandler skatās nevis faila paplašinājumu, bet gan cenšas atrast paplašinājumu visā faila nosaukumā. Piemēram, index.php.gif arī tiks uzskatīts par PHP failu. LOL? 😉
* Neatļaut izpildīt PHP failus direktorijos, kur tiek novietoti lietotāju augšupielādētie faili.
* Failu nosaukumus ģenerēt pašam un nekādā gadījumā neatstāt oriģinālo faila nosaukumu. Tas arī palīdzēs situācijās, kad failu nosaukumi ir vienādi.
Šeit oriģinālais meils no lasītāja:
[q]Vienu vakaru sēžot bezdarbībā nolēmu paskatīties aizsardzības drošību dažos latvijas trackeros. Izmantoju vienkāršu lietiņu: pārtaisīju visiem pieejamo r57shellu, kas ļauj man iepludināt .php failu jebkurā serverī kā .gif failu. Principā daži zin, ka, lai šo šellu uztvertu kā .gif attēlu pietiek tikai .php failam pievienot galā .gif, piemēram:
nosaukums.php.gif, laiki mainās un drošības sistēmas arī mainās, vēl nesen shell failā tikai pietika pievienot attiecīgu rindiņu pirms php tagiem: GIF89a. Uz šodienu ja ir tikai šāda rindiņa serveris šo failu nepieņems, jo nevarēs idinficēt kā attēlu, tā nu pats uzrakstīju dažas rindiņas kas šo failu ar šodienas drošības sistēmām (tieši trackeros) uztvers šo failu kā gifu un tiklīdz tas ielādēsies atvērsies manis konkrētais fails .php formātā. Šī daļa koda izskatās šādi: GIF89a 3’33’f3’3’Ģ3’’f f 3f ff f Ģf ’f3……. .
Tātad pieejamie trackeri, kas atrodas uz konkrētiem serveriem:
vergs.lv
snach.lv
outlaw.lv
sour.lv
torrents.lv
Kopā divu līdz triju stundu laikā esmu ticis pie 8 trackeriem un 9 saitiem, kas atrodas uz 4 serveriem. Pie visiem tiku izmantojot bickbucket vājo aizsardzību.
Ar to ko esmu izdarījis es nelepojos, vienkārši rādu aizsardzības kļūdas, pašam nav vajadzības kautko nest nost.[/q]