webdav v xampu in ddos

1. xampp ni namenjen za produkcijo, ampak zgolj za testiranje. Gl. pod http://www.apachefriends.org/en/xampp-l... del "A matter of security (A MUST READ!)". Tega očitno večina, ki namešča xampp, žal ne prebere. Xampp je namreč skonfiguriran tako, da ima omogočeno praktično vse ter brez kakršnekoli zaščite. Kar po eni strani pomenil bolj enostavno namestitev (vse dela od prve), po drugi strani pa izredno poveča možnost zlorabe. Sicer se tudi Xampp da dokaj preprosto vsaj osnovno zavarovati (/opt/lampp/lampp security), ampak tega itak nihče ne dela.

2. webdav je nek extension HTTP protokola, ki poenostavljeno povedano omogoča urejanje datotek na strežniku kar preko npr. windows explorerja

3. če webdav nimaš zavarovan, ti lahko praktično vsakdo na strežnik odlaga datoteke. Tu imaš odgovor na "kako mi je napadalec sploh podtaknil to skripto".

4. Kako onemogočiš webdav je odvisno od operacijskega sistema, verzije apacha ipd. Univarzalni odgovor bi bil onemogoči modul mod_dav v apachu. Če tega ne znaš, si pomagaj z googlom (npr. disable wedbad apache windows xp).

LP

@retsom: sam sem to prabral, in sem imel že od začetka nastavljena gesla za FileZillo, MySQL, PhpMyAdmin, Mercury pa disablean. WebDaw pa ni bil nikjer omenje(oz. ga vsaj jaz nisem nikjer zasledil). Ker ga ne potrebujem, sem ga potem onemogočil.
@denial: zgleda so potem to "porihtali", je melo preveč folka zgleda težave..

lp