Pour résumer le post que je vais faire aujourd'hui, awstat a un feature (pouvoir mettre a jour les stats a partir d'un browser) que l'on peut supprimer. Le problème est que cette feature est toujours présente même si on l'enlève et permet d'exécuter du code sur la machine.
Mon "envahisseur" a fait un simple wget de son script perl puis il l'a execute ...
# Comment se faire hacker avec awstat
Posté par Mathieu Feulvarc'h . En réponse au journal User root de apache : une faille ?. Évalué à 3.
http://blog.metabaron.net(...)
Pour résumer le post que je vais faire aujourd'hui, awstat a un feature (pouvoir mettre a jour les stats a partir d'un browser) que l'on peut supprimer. Le problème est que cette feature est toujours présente même si on l'enlève et permet d'exécuter du code sur la machine.
Mon "envahisseur" a fait un simple wget de son script perl puis il l'a execute ...