Атаки на веб сайти через mod-itk

22:41 15.09.2012

На початку лютого 2012 року я виявив цікавий метод атаки на веб сайт через mod-itk. Модуль для Apache mod_itk (mpm-itk) застосовується для покращення безпеки веб сервера. Він використовується на віртуальних хостінгах і його призначення - запуск веб сервера для кожного віртуального хоста під вказаним User і Group. І при невірній конфігурації веб сервера, це можна використати для атаки.

Цей модуль використовується на сервері мого хостера і у лютому я виявив значну проблему безпеки пов’язану з mod_itk (я звернув на неї увагу ще в січні, а в лютому детально дослідив цю нестандартну поведінку). І після мого повідомлення, хостер виправив конфігурацію для покращення безпеки.

Суть атаки полягає в тому, що при використанні на сервері mod_itk, можна редагувати файли навіть при правах 644 (чого не можна зробити при звичайних умовах, за виключенням файлів, згенерованих самим веб сервером). Тобто звичайні read-only файли зі стандартними правами 644 (що мають всі файли після завантаження їх по FTP) можна редагувати.

І відповідно у адмінках движків, що мають функції редагування (таких як WordPress), можна відредагувати будь-які файли, в тому числі й php-скрипти. Що призведе до виконання коду, якщо нападник отримає доступ до адмінки такого движка. При тому, що апріорі файли мали права, які повинні були захистити від даної атаки. Таким чином на сервері створюється бекдор. Це потрібно враховувати при використанні mod_itk (mpm-itk) на сервері.

У червні я повідомив про цю особливість mod-itk його автору і розробникам Apache. За словами автора модуля, подібна поведінка пов’язана з конфігурацією веб сервера (мій хостер зробив стандартні налаштування, а потрібно було спеціальним чином налаштувати веб сервер). Тому обов’язково вивчайте документацію при встановленні будь-якого модуля до веб сервера й особливо mod-itk, і робіть безпечні налаштування. Тоді у вас не виникнуть проблеми з безпекою.


Одна відповідь на “Атаки на веб сайти через mod-itk”

  1. MustLive каже:

    You can read this article on English in The Web Security Mailing List: Attacks on web sites via mod-itk.

Leave a Reply

You must be logged in to post a comment.