Разработчики хостинга свободных проектов Savannah.gnu.org (http://savannah.gnu.org/), недавно подвергшегося (https://www.opennet.ru/opennews/art.shtml?num=28836) взлому, обобщили (http://www.mail-archive.com/savannah-hackers-public@gnu...) внесенные в настройки web-сервера изменения, направленные на повышение безопасности системы (а также сайтов gnu.org и nongnu.org):- С сервера удален mod_php;
- Запрещена обработка страниц по символическим ссылкам;
- Отключена поддержка SSI (Server Side Includes), за исключением основного сайта;
- Запрещен запуск CGI-скриптов из SSI-вставок;- Доступ к mod_python ограничен только внутреннему скрипту new-savannah-project;
- Для всех GNU-проектов в настройках Apache указано:<font color="#461b7e">
Options Indexes MultiViews Limit
AllowOverride Indexes FileInfo Limit
</font>
- Для всех не GNU-проектов в настройках Apache указано (отключен режим FileInfo, при котором в .htaccess допускалось использование сл...URL: http://www.mail-archive.com/savannah-hackers-public@gnu...
Новость: https://www.opennet.ru/opennews/art.shtml?num=28956
Лучше бы закрылы его. Во-первых, ничего ценого там не хостится, во-вторых, он гнушный, тормозной и дырявый.
Вообще-то, было внесено гораздо больше изменений, даже я принял в этом небольшое участие (помог прикрутить passwdqc):http://savannah.gnu.org/maintenance/Compromise2010
http://git.savannah.gnu.org/cgit/savane-cleanup.git/Конечно, много проблем (неоправданных рисков) еще остается...
Вот еще подробности по паролям: http://www.openwall.com/lists/announce/2010/12/10/2
интересно а как они узнали что была SQL инъекция? т.е. стоял mod_security всё-таки и логи не потерли???
> интересно а как они узнали что была SQL инъекция?Анализировали логи. (Я сам логов не видел.)
> т.е. стоял mod_security всё-таки
Нет.
> и логи не потерли???
Да. Не потерли.
Надеюсь, серьёзный аудит коснулся ВСЕХ проектов GNU, а не только того, который самый дырявый оказался?
>С сервера удален mod_php;Бурные аплодисменты в зале! :)