Informatyk, podróżnik, fotograf

Informatyczne podejście do życia w obrazkach, kolorach i dźwiękach

webd.pl - dziurawe jak ser Szwajcarski

Wczoraj znowu miało miejsce włamanie na serwery webd.pl, co skutkowało tym, że oberwał jeden z serwisów gdzie sobie administruję. Mimo wcześniejszego zgłaszania błędów, firma jak zwykle zignorowała problem. Ale co się dziwić. Dostać się na ich serwer to bułeczka z dżemikiem. Pod jednym z prostych adresów można obejrzeć konfigurację PHP. A tam mamy:

Ci bardziej spostrzegawczy zobaczą:

open_basedir	no value	no value
register_globals	On	On
disable_classes	no value	no value
disable_functions	no value

A teraz to już dziecinada jak mawiał mój kumpel: "wystarczy wgrać byle phpshella". W sumie czemu nie ;-). Na serwerze jeszcze można dokopać się do:

Kto pierwszy znajdzie linki to phpinfo() oraz Apache Server Status wygrywa ciastko :)

Aktualizacja

Nazwa.pl ma podobny problem. Też widać ładnie Apache Server Status for nazwa.pl pod analogicznym adresem jak na webd.pl. Tyle, że tutaj więcej widać:

Srv	PID	Acc	M	CPU 	SS	Req	Conn	Child	Slot	Client	VHost	Request
0-12	23780	1/3/22002	K 	0.00	0	0	0.3	0.00	52.79 	83.5.227.160	www.nazwa.pl	GET /uploads/images/ico_konsultant.png HTTP/1.1
0-12	23780	0/2/22316	_ 	0.00	0	4	0.0	0.00	50.85 	85.128.128.36	nazwa.pl	GET /buttons/pierwszy/dodaj%20do%20koszyka.jpg HTTP/1.0
0-12	23780	1/1/21760	K 	0.00	1	587	0.0	0.00	49.62 	77.45.42.111	www.nazwa.pl	GET /TwojeSerwery.html HTTP/1.1
0-12	23780	0/2/22267	W 	0.02	0	0	0.0	0.00	50.39 	90.129.110.134	www.nazwa.pl	POST /Logowanie.html HTTP/1.1
0-12	23780	0/2/21812	_ 	0.00	0	16	0.0	0.00	49.23 	85.128.128.36	nazwa.pl	GET /css/strona_glowna.css HTTP/1.0

30 sierpnia 2008, 20:45:35

Komentarze

seba, 30 sierpnia 2008, 20:48:49

ja znalazlem ;d ja znalazlem ;d kiedy ciastko ? ;d

PiotrLegnica, 30 sierpnia 2008, 20:52:05

Apache SAPI. O.O

Kaha, 30 sierpnia 2008, 20:57:18

Ciacha są dla mnie, Ty możesz popatrzeć i oblizać się smakiem ;)
Żarcik to był. Macie pasję ludzie ;)

Yuras, 30 sierpnia 2008, 21:17:37

I jedno ciacho dla mnie! :>

paszczak000, 30 sierpnia 2008, 21:18:07

Hihihi. Zostały jeszcze trzy ciastka ;-)

Arek F., 30 sierpnia 2008, 21:32:44

O webd.pl to my już dawno wyrobiliśmy sobie opinię…

Kaha, 30 sierpnia 2008, 21:49:51

Jaki dziad ! Mi nie dał phiiiiiii….

Kaha, 30 sierpnia 2008, 21:51:24

Kamilku, ja się włamałam, ale w miejsce w które poza mną nie włamie sie nikt :)

Yuras, 30 sierpnia 2008, 22:24:22

Zajebiaszczo, chłopaki z nazwy przynajmniej umieli ustawić ExtendedStatus :>

Arek F., 30 sierpnia 2008, 22:25:07

Kurde, haxi0rów się nazbierało, a ja sobie nie popatrzę… ;D

zz, 30 sierpnia 2008, 23:05:39

a ja nie umiem :( jakas podpowiedz? :/

asd, 30 sierpnia 2008, 23:41:08

Może webd ma zrobione odseparowanie kont w inny sposób? Nie sądzę, aby tak znany hosting dał ciała aż tak, że można głupim phpshellem podglądnąć cudze konto. Choć ustawienie register globals na on to skandal ;)

A co do statusu serwera
http://www.apache.org/server-status ;)

KORraN, 31 sierpnia 2008, 15:00:44

@zz: asd podał wskazówkę ;)

Arek F., 31 sierpnia 2008, 15:01:20

Apache Server Status oglądneliśmy już. :P

Wasacz, 31 sierpnia 2008, 15:54:32

<title>Tani Hosting | Profesjonalny Hosting WWW | Serwery i Domeny</title>

zz, 31 sierpnia 2008, 18:46:43

ok, server status nazwy.pl widzialam, ale co z webd.pl i php? :>

Składnia Textile Lite jest włączona.

Licencja: Creative Commons Uznanie autorstwa 3.0

Podpis:
Treść:
Strona WWW (opcjonalnie):
Wpisz kod: