超過2072個網站錯誤設定Apache,讓網站內部資料外洩

不當設定可能讓Apache伺服器資訊外洩

資安公司Sucuri技術長Daniel Cid在搜尋十萬個網站後發現,超過2072個網站因不當的設定Apache網頁伺服器,讓網站系統內部資料可能外洩,可能協助駭客在攻擊前取得必要的資訊。 

Apache網頁伺服器含有一個相當好用的伺服器狀態模組mod_status,允許網管人員觀看伺服器的各種狀態。基本上這是一個HTML網頁,可以顯示包含中央處理器及記憶體負荷、哪些使用者連線到伺服器、哪些檔案使用中等等,詳細資料包含使用者連線時所用的IP、連線所使用的連結。 

然而這個功能卻很可能讓網站狀態資訊曝露於公開的網路上,造成安全隱憂。Daniel Cid表示,受影響的包含php.net,metacafe.com,disney.go.com,staples.com,nba.com,cisco.com,ford.com,apache.org等著名網站,台灣地區的網站則有she.com.tw、eastlife.tw等。部分網站已經修正設定,但仍有許多網站未修正,將這些重要訊息公布在網路上。


 

與Apache服務器狀態功能的熱門網站

10月30,2012年 丹尼爾cid 40

Apache有一個非常有用的功能,被稱為服務器狀態 ,使管理員能夠很容易地找到他們的服務器執行。

它基本上是一個HTML頁面,顯示數量的處理工作,每個請求的狀態,訪問該網站的IP地址,被查詢的網頁和類似的東西。 一切都很好。

不過,這個功能也有安全隱患的,如果你離開它廣泛向世界開放。 任何用戶都可以看到誰訪問該網站的URL,有些時候甚至可以找到隱藏的(模糊)管理控制台或文件不應該到外面可見。

談論一個尷尬的時刻。

URL映射和服務器狀態

我們開始在我們的實驗室中查詢不同的網站(其中一些的抓取數據是在URLfind.org的 )超過10米的小爬行項目。 我們發現了一些很有趣的: 很多的一些大的網站()保持他們的服務器狀態頁中,打開整個世界 。

下面是一些流行的品牌,顯示其狀態:

http://php.net/server-status/ 
http://metacafe.com/server-status/ (FIXED)
http://cloudflare.com/server-status/(FIXED) 
http://disney.go.com/server-status/(FIXED) 
http://www.latimes.com/server-status/ (FIXED)
http://www.staples.com/server-status/ 
http://tweetdeck.com/server-status/(FIXED) 
http://www.nba.com/server-status/ (FIXED)
http://www.ford.com/server-status/ 
http://www.cisco.com/server-status/ (FIXED) 
http://www.chicagotribune.com/server-status/ (FIXED)
http://www.yellow.com/server-status/ 
http://apache.org/server-status/

多出很多在這裡: http://urlfind.org/?server-status 。(點選這個網址會看到全部的列表!)

這是一個大問題,我可以去staples.com /服務器狀態/看到所有訂單/連接和他們的IP地址? 其中之一,或者去搜索“管理-P”,找到一個的大多未受保護的管理面板(我不會透露的網站)。 或發現所有的內部URL和虛擬主機映射nba.com或ford.com的嗎?

也許本身沒什麼大不了的,如果你有一個未受保護的管理面板,但它可以幫助攻擊者很容易地找到這些環境的詳細信息,並利用它們為更複雜的攻擊。

簡單的解決辦法

對於服務器管理員,請禁用服務器狀態或限制它只有一組是真正需要使用它的IP地址。 這個鏈接解釋如何做到這一點: http://httpd.apache.org/docs/2.2/mod/mod_status.html 。


 

嘿嘿~新聞提到的台灣網站,直接點選底下的網址,就會看到相當精彩的內容!

 

http://she.com.tw/server-status/

http://easylife.tw/server-status/

 

國外「不安全網站」上榜的包括:

 

http://www.yellow.com/server-status/

http://www.ford.com/server-status/

 

神奇的是連資訊安全,防火牆為主的「Cisco」也上榜,顯然是資訊安全技術實在是不怎麼樣!

 

查到的資料就像這樣:

 

Apache Server Status for she.com.tw

Server Version: Apache/2.2.10 (Linux/SUSE) PHP/5.2.14 with Suhosin-Patch
Server Built: May 5 2010 14:32:30

Current Time: Tuesday, 06-Nov-2012 17:31:03 HKT
Restart Time: Wednesday, 18-Jul-2012 14:55:47 HKT
Parent Server Generation: 606
Server uptime: 111 days 2 hours 35 minutes 15 seconds
Total accesses: 25837432 - Total Traffic: 1387.6 GB
CPU Usage: u3025.86 s112.7 cu.15 cs0 - .0327% CPU load
2.69 requests/sec - 151.6 kB/second - 56.3 kB/request
58 requests currently being processed, 37 idle workers

Apache Server Status for easylife.tw

Server Version: Apache/2.2.8 (Unix) DAV/2 mod_python/3.2.8 Python/2.4.3 mod_ssl/2.2.8 OpenSSL/0.9.8e-fips-rhel5 Apache/2.2.0 (Fedora) mod_perl/2.0.4 Perl/v5.8.8
Server Built: Jan 21 2008 05:55:18

Current Time: Tuesday, 06-Nov-2012 17:32:07 CST
Restart Time: Tuesday, 06-Nov-2012 17:20:59 CST
Parent Server Generation: 0
Server uptime: 11 minutes 7 seconds
Total accesses: 673 - Total Traffic: 6.8 MB
CPU Usage: u61.94 s1.29 cu0 cs0 - 9.48% CPU load
1.01 requests/sec - 10.4 kB/second - 10.3 kB/request
2 requests currently being processed, 18 idle workers

Apache Server Status for www.yellow.com

Server Version: Apache/2.2.9 (Unix) PHP/5.2.4
Server Built: Oct 13 2008 14:08:45

Current Time: Tuesday, 06-Nov-2012 01:35:16 PST
Restart Time: Thursday, 25-Oct-2012 13:51:01 PDT
Parent Server Generation: 1
Server uptime: 11 days 12 hours 44 minutes 14 seconds
Total accesses: 12396140 - Total Traffic: 81.9 GB
CPU Usage: u39910.5 s6178.04 cu20.38 cs0 - 4.63% CPU load
12.4 requests/sec - 86.2 kB/second - 6.9 kB/request
2 requests currently being processed, 126 idle workers

Apache Server Status for www.ford.com

Server Version: IBM_HTTP_Server/6.1.0.41 Apache/2.0.47
Server Built: Sep 16 2011 11:29:32

Current Time: Monday, 05-Nov-2012 23:23:37 EST
Restart Time: Thursday, 01-Nov-2012 05:55:11 EDT
Parent Server Generation: 0
Server uptime: 4 days 18 hours 28 minutes 26 seconds
Total accesses: 1700301 - Total Traffic: 91.2 GB
CPU Usage: u68.61 s10.95 cu0 cs0 - .0193% CPU load
4.13 requests/sec - 232.1 kB/second - 56.3 kB/request
157 requests currently being processed, 93 idle workers

Apache Server Status for www.staples.com

Server Version: IBM_HTTP_Server/7.0.0.21 (Unix) DAV/2
Server Built: Nov 7 2011 11:53:45

Current Time: Tuesday, 06-Nov-2012 04:40:29 EST
Restart Time: Tuesday, 06-Nov-2012 02:19:40 EST
Parent Server Generation: 0
Server uptime: 2 hours 20 minutes 49 seconds
Total accesses: 551567 - Total Traffic: 45.7 GB
CPU Usage: u624.06 s412.11 cu0 cs0 - 12.3% CPU load
65.3 requests/sec - 5.5 MB/second - 86.8 kB/request
52 requests currently being processed, 1228 idle workers

我猜想以上這一堆網站,大概全部都是用「XAMPP」或是「LAMP」這種快速架站系統來架設的!所謂「LAMP」就是全套「Linux+Apache+MySQL+PHP/Perl/Python」通通一次安裝到好!簡單方便,快速,就像是速食麵!

另外一套「XAMPP」也是同樣的玩意,只不過支援的作業系統更多!

 

名前の由来

XAMPPは以下の文字から構成されている。

  • X - Windows、Linux、Mac OS X、Solarisのクロスプラットフォーム
  • A - ApacheのA
  • M - MySQLのM
  • P - PHPのP
  • P - PerlのP

追求最高安全性的BNW與insoler,當然是絕對不使用「XAMPP」架站,不追求「Mac OS X Server」系統以外的一堆爛貨!就算是「Mac OS X Server」系統本身內建的功能,也是能關閉的就關閉,能保護起來的就保護起來,絕對不會在網址後面加上「/server-status/」就可以被駭客看光光!

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

这明明是自己又爱用这个模块又不会设定,mac os如果不设定也会如此。

我要成為幸運的一般會社員

你又知道了?我們的Mac OS X Server,從來都是啥都沒設。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏
我们hacker想要用就是会用,所以默认设置很宽松
我要成為幸運的一般會社員