nikto 探測警告消息
我有一個執行 Ubuntu 8.1、Apache 2.2、PHP 5 等的非常標準的 VPS——標準 Lamp 堆棧。我正在使用 suhosin 並已盡力插入明顯的東西,因為我是唯一的使用者 - 除了通過非標準埠上的 pubkey 之外,沒有 SSH 訪問,SSH 沒有 root 訪問,沒有執行 FTP 伺服器, iptables 設置為丟棄基本上埠 80 或我的 SSH 埠(沒有郵件伺服器或其他任何東西)之外的任何內容。
但是,我仍然可能受到 SQL 注入的影響(據我所知還不錯)。我已經鎖定了 SQL 使用者(root 使用者之外只有一個,而且他的權限有限,沒有文件等)
所以我跑了 nikto 看看我做錯了什麼,並且有一個我從未見過的東西的列表,並且無法使用“find”或我知道的任何其他方法找到。見下文:
`+ /autologon.html?10514: Remotely Anywhere 5.10.415 is vulnerable to XSS attacks that can lead to cookie theft or privilege escalation. This is typically found on port 2000.
/servlet/webacc?User.html=noexist: Netware web access may reveal full path of the web server. Apply vendor patch or upgrade.
OSVDB-35878: /modules.php?name=Members_List&letter=’%20OR%20pass%20LIKE%20’a%25’/*: PHP Nuke module allows user names and passwords to be viewed.
OSVDB-3092: /sitemap.xml: This gives a nice listing of the site content.
OSVDB-12184: /index.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000: PHP reveals potentially sensitive information via certain HTTP requests which contain specific QUERY strings.
OSVDB-12184: /some.php?=PHPE9568F36-D428-11d2-A769-00AA001ACF42: PHP reveals potentially sensitive information via certain HTTP requests which contain specific QUERY strings.
OSVDB-12184: /some.php?=PHPE9568F34-D428-11d2-A769-00AA001ACF42: PHP reveals potentially sensitive information via certain HTTP requests which contain specific QUERY strings.
OSVDB-12184: /some.php?=PHPE9568F35-D428-11d2-A769-00AA001ACF42: PHP reveals potentially sensitive information via certain HTTP requests which contain specific QUERY strings.
OSVDB-3092: /administrator/: This might be interesting…
OSVDB-3092: /Agent/: This might be interesting…
OSVDB-3092: /includes/: This might be interesting…
OSVDB-3092: /logs/: This might be interesting…
OSVDB-3092: /tmp/: This might be interesting…
ERROR: /servlet/Counter returned an error: error reading HTTP response
OSVDB-3268: /icons/: Directory indexing is enabled: /icons
OSVDB-3268: /images/: Directory indexing is enabled: /images
OSVDB-3299: /forumscalendar.php?calbirthdays=1&action=getday&day=2001-8-15&comma=%22;echo%20’’;%20echo%20%60id%20%60;die();echo%22: Vbulletin allows remote command execution. See link
OSVDB-3299: /forumzcalendar.php?calbirthdays=1&action=getday&day=2001-8-15&comma=%22;echo%20’’;%20echo%20%60id%20%60;die();echo%22: Vbulletin allows remote command execution. See link
OSVDB-3299: /htforumcalendar.php?calbirthdays=1&action=getday&day=2001-8-15&comma=%22;echo%20’’;%20echo%20%60id%20%60;die();echo%22: Vbulletin allows remote command execution. See link
OSVDB-3299: /vbcalendar.php?calbirthdays=1&action=getday&day=2001-8-15&comma=%22;echo%20’’;%20echo%20%60id%20%60;die();echo%22: Vbulletin allows remote command execution. See link
OSVDB-3299: /vbulletincalendar.php?calbirthdays=1&action=getday&day=2001-8-15&comma=%22;echo%20’’;%20echo%20%60id%20%60;die();echo%22: Vbulletin allows remote command execution. See link
OSVDB-6659: /kCKAowoWuZkKCUPH7Mr675ILd9hFg1lnyc1tWUuEbkYkFCpCdEnCKkkd9L0bY34tIf9l6t2owkUp9nI5PIDmQzMokDbp71QFTZGxdnZhTUIzxVrQhVgwmPYsMK7g34DURzeiy3nyd4ezX5NtUozTGqMkxDrLheQmx4dDYlRx0vKaX41JX40GEMf21TKWxHAZSUxjgXUnIlKav58GZQ5LNAwSAn13l0w<font%20size=50>DEFACED<!–//–: MyWebServer 1.0.2 is vulnerable to HTML injection. Upgrade to a later version.`
我了解跟踪和索引,但是 vbulletin 和自動登錄呢?我已經搜尋過,我在伺服器上找不到任何類似的文件。我不知道“MyWebServer”的東西、PHP Nuke 或 Netware/servlet 的東西——除了一個非常標準的 Joomla 站點(更新到最新版本)之外,伺服器上什麼都沒有。
非常感謝對這些消息和/或我做錯的任何幫助。
Nikto 會產生很多誤報。您發布的大多數結果可能是問題,也可能不是問題,需要人工檢查。
像這樣的 Nikto 警告是因為您啟用了目錄列表。
OSVDB-3092: /logs/: This might be interesting...
這被認為是一個較小的資訊洩露漏洞。要修補此漏洞,您可以修改 apache 配置:
Options -Indexes
另一個更新檔是將空白 index.html 頁面放在這些文件夾中。
Nikto 還說您可能正在執行 PHP-Nuke 和 Vbulletin。在這些應用程序中發現了漏洞,您可能容易受到攻擊。如果您正在執行這些應用程序,請確保它們已完全更新。
以下是您應該做的其他一些事情:
1)我強烈推薦安裝mod_security,預設的規則集非常適合防止被利用。
確保您的 PHP Web 應用程序有自己的受限 MySQL 使用者帳戶。確保
file_priv
已在此帳戶上撤消。MySQL 文件權限是您可以賦予 Web 應用程序的最糟糕的事情之一。您還應該確保它只能訪問它需要工作的數據庫。例如,授予使用者帳戶訪問 mysql.user 的權限是錯誤的。執行PHPSecInfo並相應地修改您的 php.ini 文件。你不應該有任何 RED 錯誤。
執行OpenVAS,這是 nessus 的更自由版本。OpenVAS 將執行 Nikto 以及一系列其他測試。