工作,学习,生活,这里将会有一些记录. 备用域名:http://meisw.wdlinux.cn 注册 | 登陆
浏览模式: 标准 | 列表全部文章

Apache+php文件扩展名解析漏洞

Submitted by admin on 2008, April 30, 2:37 PM

也就是不管最后后缀为什么,只要是.php.*结尾,且没在mime.types定义的,都将会被Apache服务器解析成php文件

这主要是对有上传功能的服务器比较危险,解决的办法是对允许上传的文件类型,在mime.types文件中定义即可,或者升级最新版本的apache,php

....

rar

 

apache/web | 评论:0 | Trackbacks:0 | 阅读:1982

php马

Submitted by admin on 2008, April 30, 2:19 PM

php马当属PhpSpy了,查过几次,都是这个.今天又来一个.目前最新版是2008,更新日期为 2008.1.7

检查PHP木马
1 检查最新上传的文件 (ctime -4 最近四天)
2 检查文件属主
3 检查文件大小属性
...

--------

eval(base64_decode(''));

eval(gzinflate(base64_decode(

apa log

?dir|./..|.%2F../..|.%2F..%2F..|

 

安全相关 | 评论:0 | Trackbacks:0 | 阅读:1790

RHEL4 安装pptpd做VPN

Submitted by admin on 2008, April 29, 5:20 PM

一 安装
软件下载
 
http://sourceforge.net/project/showfiles.php?group_id=44827

-rw-r--r--   1 root              root    78681 Mar 17  2006 dkms-2.0.10-1.noarch.rpm
-rw-r--r--   1 root              root   105346 Oct  7  2005 kernel_ppp_mppe-1.0.2-3dkms.noarch.rpm
-rw-r--r--   1 root              root   356446 May 13  2005 ppp-2.4.3-5.rhel4.i386.rpm
-rw-r--r--   1 root              root    73889 Sep  5  2006 pptpd-1.3.3-1.rhel4.i386.rpm

分别用 rpm -ivh dkms,mppe,ppp,pptpd 安装
如原系统有安装,可以先用rpm -e 删除再装

二 配置
 
vi /etc/pptpd.conf
localip 10.10.1.1
remoteip 10.10.1.10-20

用户密码 vi /etc/ppp/chap-secrets
user1 pptpd user1 10.10.1.11
user2 pptpd user2 10.10.1.12

认证方式 vi /etc/ppp/options.pptpd
name pptpd
refuse-pap
require-chap
refuse-mschap
refuse-mschap-v2
ms-dns 202.103.176.22

如要ping, echo 1 > /proc/sys/net/ipv4/ip_forward

打开 1723,47端口
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p tcp --dport 47 -j ACCEPT

启动
/etc/rc.d/init.d/pptpd start

三 在客户端设置连接,即可拔号连接
具体略

FAQ
如提示 错误734,ppp连接控制协议终止
是加密方法有问题,可以重新编译mppe相关程序,或不用加密.

要通过这台机访问其它网络,只需加上

/sbin/iptables -t nat -I POSTROUTING -s 10.10.1.0/8 -j MASQUERADE

或参考

/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 10.10.1.0/8 -j MASQUERADE
/sbin/iptables -A INPUT -s 10.10.1.0/8 -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


客服端设置
连接 > 属性 > 安全 > 自定义 > 不允许加密,质询握手身份验证协议

应用服务 | 评论:0 | Trackbacks:0 | 阅读:2029

NFS加载问题

Submitted by admin on 2008, April 19, 9:16 AM

在用NFS作文件共享,在载时提示

mount: IP:/path failed, reason given by server: Permission denied

和本机所用DNS或DNS的解释有关,在hosts文件加个名字即可,再exportfs -rv就OK了

应用服务 | 评论:0 | Trackbacks:0 | 阅读:1790

bind94 query cache的问题

Submitted by admin on 2008, March 25, 4:49 PM

今天把DNS服务器迁移到了另外两台机上.因之前所用版本为932,现在最新稳定版为942,就下了个最新的

也因为懒,编译好就直接把以前的配置文件给拷过来了.启动正常,直接查询的也可以.但cache的查询就有问题了.很多这样的错.

Mar 25 14:38:17 root named[12559]: client 218.13.186.57#62319: view view_any: query (cache) 'xx.com.cn/A/IN' denied
Mar 25 14:38:17 root named[12559]: client 218.13.186.57#62320: view view_any: query (cache) 'xx.com.cn/A/IN' denied
Mar 25 14:38:38 root named[12559]: client 218.13.186.57#62326: view view_any: query (cache) 'xx.com.cn/A/IN' denied
Mar 25 14:38:38 root named[12559]: client 218.13.186.57#62327: view view_any: query (cache) 'xx.com.cn/A/IN' denied
Mar 25 14:45:21 root named[12559]: client 218.13.186.57#62451: view view_any: query (cache) 'xx.com.cn/A/IN' denied
Mar 25 14:45:21 root named[12559]: client 218.13.186.57#62452: view view_any: query (cache) 'xx.com.cn/A/IN' denied

查资料,发现新版的对cache的处理有所改变

新版本的BIND对 allow-query 有着不同的处理,新增加了一个 allow-query-cache 的选项。

QUOTE:allow-query Specifies which hosts are allowed to ask ordinary DNS questions. allow-query may also
be specified in the zone statement, in which case it overrides the options allow-query statement.
If not specified, the default is to allow queries from all hosts.


QUOTE:allow-query-cache Specifies which hosts are allowed to get answers from the cache. The default is the
builtin acls localnets and localhost.
The way to set query access to the cache is now via allow-query-cache. This differs from earlier
versions which used allow-query.
BIND 9.4 的手册上还特别注释了

QUOTE:allow-query-cache is now used to specify access to the cache.

dns | 评论:0 | Trackbacks:0 | 阅读:2477

sendmail

Submitted by admin on 2008, March 20, 5:30 PM

每天console上或/var/adm/mail.log里仍报这种信息:
Feb 11 21:02:46 hpaps sendmail[10632]: My unqualified host name (hpaps) unknown;
 sleeping for retry
Feb 11 21:02:46 hpaps sendmail[10632]: unable to qualify my own domain name (hpaps) -- using short name

 

由于你没有用到域名,所以/etc/mail/sendmail.cf中“Dj$w.hpaps”  这一行应该注释掉,否则系统sendmail时会把hpaps 作为域名加到主机名后组成完整的长名 hpaps.hpaps来访问,系统当然就会报“unable to qualify my own domain name (hpaps)” ,因为此时根据你的配置,hpaps还是你的域名,系统肯定找不到。

 

原文 http://www.chinaunix.net/jh/8/13642.html

mail | 评论:0 | Trackbacks:0 | 阅读:1832

sendmail.mailq

Submitted by admin on 2008, March 20, 5:25 PM

用mailq查看邮件列表时很慢,修改 /etc/hosts

如:127.0.0.1 localhost.localdomain localhost.

mail | 评论:0 | Trackbacks:0 | 阅读:1765

Apache服务器限制并发连接和下载速度

Submitted by admin on 2008, March 10, 9:58 AM

最近,FTP下载带宽太大,找了个限制带宽的,效果不错

http://ivn.cl/apache

http://ivn.cl/files/source/mod_bw-0.8.tgz

<VirtualHost *>
    BandwidthModule On
    ForceBandWidthModule On
    Bandwidth all 30720
    MinBandwidth all -1
</VirtualHost>

限制最大为30K

参考

目前各种多线程下载工具泛滥,这对提供部分下载功能的网站来说是个比较头疼的问题,由于多线程下载会给服务器带来巨大的负载压力,而且可能会对整个站点产生影响,使其不能正常访问。那么有没有什么方法可以解决这些问题呢?答案是肯定的。目前国内大部分站点都是基于LAMP(Linux+Apache+Mysql+php)架构的,Apache是一个开源的,功能强大,稳定,使用量最大的WEB服务器。Apache是模块化开发的,可以根据需要增加各种功能模块,这里我给大家介绍两个模块,一个是mod_limitipconn,另一个是bw_mod。

     下面说一下它们的安装配置,它们的下载地址是:
    mod_limitipconn:http://dominia.org/djao/limitipconn.html
    bw_mod:http://www.ivn.cl/

一、mod_limitipconn

    mod_limitipconn,这个是Apache的一个非官方模块,根据同一个来源IP进行并发连接控制,它是使用ExtendedStatus On的形式,工作在应用层。当同一个源IP的连接到达限制的时候,apache对get请求发送: HTTP/1.1 503 Service Temporarily Unavailable,使用户不能进行多线程下载,但并不能阻止攻击。目前它的最新版本是0.22,支持Apache 2.0。
 
下载:wget http://dominia.org/djao/limit/mod_limitipconn-0.22.tar.gz
解压:tar zxvf mod_limitipconn-0.22.tar.gz;
安装:在进行安装前要确认apxs文件的位置,要使用whereis apxs命令查找apxs文件的位置。可以通过两种方法进行安装。
    一种方法是修改mod_limitipconn的Makefile文件,确保Makefile文件中APXS=指向正确的apxs文件。
然后输入:make install 
另一种方法就是直接用apxs命令进行编译安装,如:
/usr/local/apache/bin/apxs –c –i – a mod_limitipconn.c 
修改Apache的配置文件httpd.conf:
1.找到ExtendedStatus On,如果前面有#号的话要把#号去掉,如果没有这个选项需要自己手工添加;
2.确认LoadModule limitipconn_module /usr/lib/apache/mod_limitipconn.so这个选项存在;
3.在httpd.conf进行mod_limitipconn配置,配置示例如下:
<IfModule mod_limitipconn.c>
<Location /> #要限制的目录,此处表示的根目录
MaxConnPerIP 3 #要限制每个IP的并发连接数,此处为3
NoIPLimit image/* #对图片文件夹不做IP限制
</Location>
<Location /mp3> #要限制的目录,此处表示/mp3目录
MaxConnPerIP 1 #限制每个IP的并发连接数为1个
OnlyIPLimit audio/mpeg video #该限制只对视频和音频格式的文件
</Location>
</IfModule>
            4.重启Apache,这时可以用多线程下载工具下载文件试一下。

二、bw_mod

Bw_mod,它可以根据来源IP进行带宽限制。
       下载:wget http://www.ivn.cl/files/source/bw_mod-0.6.tgz
       解压:tar zxvf bw_mod-0.6.tgz
安装:通过whereis apxs命令找到apxs命令的位置,如apxs的位置是:/usr/local/apache/bin/apxs,那么我们就可以通过:
/usr/local/apache/bin/apxs –c –i –a命令进行安装。
修改Apache的配置文件httpd.conf。
1.确认LoadModule bw_module modules/bw_mod-0.6.so选项已经存在。
2.配置示例:
BandWidthModule On                 #启用bw_mod
BandWidth    all 102400              #最高为为100kB
MinBandWidth all 51200              #最低为50KB
MaxConnection all 3                   #所有客户端最多3个连接
LargeFileLimit .rar 30 23000         #限制所有大于30K的后缀名为.rar的文件的
                                                 速率为23000字节/秒,即23K/秒
3.重启Apache
       以上只说了一下这两个模块的安装和简单的配置,更具体的配置请看这两个模块的说明文件。

apache/web | 评论:0 | Trackbacks:0 | 阅读:1997

Records:1075«116117118119120121122123124125»