Полез в логи, а там...

[faiwer]

Доброго времени суток. Пытаясь выявить баг, который только online проявляется я закономерно полез в логи. И увидел там следующее (в логах апача):

client denied by server configuration: /home/%domain%/www/..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fetc%2Fpasswd%00.jpg
client denied by server configuration: /home/%domain%/www/..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fetc%2Fpasswd%00.jpg
client denied by server configuration: /home/%domain%/www/.\\\\.
client denied by server configuration: /home/%domain%/www/..\xc0\xaf
client denied by server configuration: /home/%domain%/www/..\xc0\xaf..\xc0\xaf..\xc0\xaf..\xc0\xaf..\xc0\xaf..\xc0\xaf..\xc0\xaf..\xc0\xafetc
client denied by server configuration: /home/%domain%/www/..\xc0\xaf
client denied by server configuration: /home/%domain%/www/................windowswin.ini
client denied by server configuration: /home/%domain%/www/..\\..\\..\\..\\..\\..\\..\\..\\windows\\win.ini
client denied by server configuration: /home/%domain%/www/.\\\\.
client denied by server configuration: /home/%domain%/www/..\xc0\xaf
client denied by server configuration: /home/%domain%/www/..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fetc%2Fpasswd%00.jpg
client denied by server configuration: /home/%domain%/www/..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fetc%2Fpasswd%00.jpg
client denied by server configuration: /home/%domain%/www/.\\\\.

Решил, что это обычный сканер, и что мол нормальное явление. Однако пролистав ниже, я заметил что этот сканер проверял, в том числе, и те директории, о которых он вообще знать не должен был. Возможность посмотреть листинг файлов\каталогов через браузер закрыта.

$:/var/log/apache2# apache2 -v
Server version: Apache/2.2.16 (Debian)

$:/var/log/apache2# nginx -v
nginx version: nginx/0.7.67

Apache2 стоит за Nginx, увы пока открыт извне. Позже спрячу за localhost. Сущ-ет какая-либо уязвимость apache2 или nginx, которая позволяет узнать список директорий? Уязвимость в самом сайте пока исключаю, на её поиск уйдёт чрезмерно много времени.

P.S. сайт функционирует в прежнем режиме, никаких проблем обнаружено не было.
P.S.S. поиск не помог, может криво искал, хз

 

[Beavis]

Однако пролистав ниже, я заметил что этот сканер проверял, в том числе, и те директории, о которых он вообще знать не должен был.

Т.е. эти директории уникальны и есть только в твоем проекте?

 

[faiwer]

Т.е. эти директории уникальны и есть только в твоем проекте?

Угу. Даже название самописных модулей коханы "определил".

 

[Здыхлик]

В Kohana недавно пробегала уязвимость - http://dev.kohanaframework.org/issues/4591. Пальцем в небо конечно, но мало ли...