[FUG-BR] Perigo- sudo + apache
Oscar Marques
oscarbm em gmail.com
Sexta Outubro 29 14:51:25 BRST 2010
Se tiver algum script com falha de RFI, LFI, e etc...
Voce pode sofrer um ataque, o atacante pode fazer bindshell ou connect back
e ter acesso.
Nao rodaria apache com permissao de root.
2010/10/29 coopermine <coopermine em bol.com.br>
> Exatamente, oque eu gostaria e de uma maneira de testar essa
> vunerabilidade aqui na pratica para tentar arrumar uma solução,
> alguem tem alguma ideia?
> __________________________________________________________________
>
> Em 29/10/2010 13:42, Leandro Keffer < keffer666 em gmail.com > escreveu:
> Acredito que não desde que tenha alguma vulnerabilidade existente na
> versão
> que esta o apache.
> Porém voce fica exposto a vulnerabilidade e exploits nao publicados.
> Ideal seria rodar esse serviço com o usuário www sem privilegio
> mesmo.
> Att
> Em 29 de outubro de 2010 13:39, coopermine escreveu:
> > Ola lista,
> >
> > Tenho um servidor apache com o sudo rodando com permissao root, eu
> sei
> > que isso é muito perigoso, gostaria de saber como alguem pode
> >
> > usar dessa falha na pratica, como a pessoa conseguiria enviar um
> > comando para meu servidor?
> >
> > ps: o servidor esta com um captive e nenhum usuario consegue hospedar
> > paginas aqui, ele é somente para o captive, por isso a pergunta
> >
> > Existe alguma maneira de alguem rodar algum comando nele? se sim..
> > como?
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd