Statcounter Update.sh漏洞补丁

- Jan 扬
- 27 27
Statcounter Update.sh漏洞补丁
发布者chaoskaizer.myopenid.com 8月前。
Filed under Security & vulnerability .根据提交的安全与漏洞。
- Increase text size 增加文字大小
- Decrease text size 减少文字大小
意大利阿马托发现了漏洞statcounter ，可以揭露ip2location数据库日志和帐户凭据。
The Vulnerability弱点
该漏洞存在于statcounters备份日志内utils目录下的文件update.sh居住。
- googlecache ： *. statcounter.com / utils / update.sh
Excerpt from Giani Amot:摘自吉亚尼阿莫特：
该服务器的备份的日志最后三天正处于急需一套。访问的所有目录服务器是免费的，包括“ utils ”目录，包含一个脚本文件名为“ update.sh ”里面的是位于用户和密码，输入并下载数据库日志从ip2location.com
Update.sh
```
 cd /home/ip2location的CD / home/ip2location 

 /usr/bin/curl --data 'login=webmaster@statcounter.com&password=kOFr3VTh' 'http://www.ip2location.com/download.aspx?productcode=db6bin' > /home/ip2location/ipdb_current.bin.zip是/ usr /斌/曲-数据'登录= w ebmaster@statcounter.com和密码= k OFr3VTh' ' h ttp://www.ip2location.com/download.aspx?productcode=db6bin“ > / h ome/ip2location/ipdb_current.bin.zip 

 rm /home/ip2location/ipdb_new.bin删除/ home/ip2location/ipdb_new.bin 

 unzip -p /home/ip2location/ipdb_current.bin.zip *.BIN > /home/ip2location/ipdb_new.bin解一p / home/ip2location/ipdb_current.bin.zip *.宾“ / home/ip2location/ipdb_new.bin 

 if [ "$?"如果[ “ $ ？ ” -ne "0" ]; then碱“ 0 ” ] ;然后 

  echo "Sorry, new ip_db archive isn't valid!"回声“对不起，新ip_db存档是无效的！ ” 

  exit 1 1号出口 

 fi科幻 

 mv /home/ip2location/ipdb_new.bin /home/ip2location/ipdb.bin机动车辆/ home/ip2location/ipdb_new.bin / home/ip2location/ipdb.bin 

 rm /home/ip2location/ipdb_current.bin.zip删除/ home/ip2location/ipdb_current.bin.zip 

 /bin/cp /home/ip2location/ipdb.bin /mnt/rd/ipdb.bin /斌/蛋白/ home/ip2location/ipdb.bin /破伤风/次/ ipdb.bin 
```
htaccess workaround htaccess替代
下面的地方。 htaccess代码statscounter / utils /目录
```
 #deny access to any file with *.sh filetypes ＃拒绝存取任何文件， *.上海文件类型 
 <Files ~ "^\.sh"> <Files 〜 "^\.sh"> 
  Order allow,deny为了允许，否认 
  Deny from all拒绝所有 
  Satisfy All满足所有 
 </Files> “ /档案” 

 #Deny request for *.log & comment files ＃拒绝请求*.日志和评论的文件 
 <Files ~ "^.*\.([Ll][Oo][Gg]|[cC][oO][mM][mM][eE][nN][tT])"> <Files 〜 "^.*\.([Ll][Oo][Gg]|[cC][oO][mM][mM][eE][nN][tT])"> 
  Order allow,deny为了允许，否认 
  Deny from all拒绝所有 
  Satisfy All满足所有 
 </Files> “ /档案” 
```
password protected directories密码保护目录
```
 AuthType Basic AuthType基本法 
 AuthName "restricted area" AuthName “禁区” 
 AuthUserFile /usr/local/etc/.htpasswd-allusers AuthUserFile的/ usr / local的/ etc / .htpasswd - allusers 
 require valid-user需要有效的用户 
```
注意：您将需要改变AuthUserFile密码文件的位置取决于您的服务器配置。
External Resources外部资源
- 吉亚尼阿马托→硒fossi图1 monitorare Statcounter.com ？
- 吉亚尼阿马托→硒fossi图1 monitorare Statcounter.com »英语翻译
About the Author作者简介
Tags: 标签：
- htaccess , htaccess ，
- ip2location , ip2location ，
- shell scripts , shell脚本，
- Statcounter Statcounter
- Rated 3额定第3
- January 27, 2008 at 1:11 pm 08年1月27日在下午1时11分
- February 3, 2008 at 11:48 am 2008年2月三号在上午11点48分
- 0.3
- url网址
- 没有任何反应 “ Statcounter Update.sh漏洞修正”
  Trackback URL: 引用网址：使用引用网址↑以平本条。如果您的博客不支持搬场您可能想要发表评论代替。
- Comment Policy 评论政策
  稀土： Statcounter Update.sh漏洞修复-'指南' ↓
  Statcounter Update.sh漏洞修复 Kakkoi 8个月前的第5 网址
  下面的“守则”旨在保护您和其他用户的这个网站。
  相关：您的评论应该是一个深思熟虑的贡献的主题项目。让您的建设性意见和礼貌。
  没有广告或垃圾邮件：不要使用评论功能，以促进商业实体/产品，公司服务或网站。您可以张贴一个链接，只要它的相关条目。
  请在法律范围内：不要链接到攻击性或非法内容的网站。不要让任何诽谤或诋毁评论可能损害声誉的人或组织。
  隐私：请勿张贴任何个人信息与自己或别人-（即：地址，就业地点，电话或手机号码或电子邮件地址）。
  为了使这些经验，愉快的和令人感兴趣的所有的用户，我们请您按照上述guidlines 。
  be the first to comment.首先评论。
  随时进行，询问问题，并告诉我们您的想法！经常和有见地的评论是最值得欢迎的。
“写如果你交谈的好朋友（在前面的你的母亲）。 ”
.have your say 。您说

Name (required) 名称（必需）
Email (required, will not be published) 电子邮件（必要时将不会被发表）
Website 网站
声明：对于任何内容，您后，您在此授予Kakkoi的免版税的，不可撤销的，永久性，排他性和充分转授的许可使用，复制，修改，改编，出版，翻译，创造衍生作品，分发，执行和显示这些内容的全部或部分，全世界范围内，并把它在其他作品，以任何形式，媒体或技术现在已知或以后开发。一些版权所有。

MySQL查询错误