« OpenOffice 3.0Die Turbulenzen um die UBS ... »

Neue Angriffe und Awstats


Update:

If you're going to do a fresh install of awstats on a Debian Lenny box, make sure that you alter your permissions for /var/log/apache2/access.log accordingly:

The default is: -rw-r----- 1 root adm 42309 Oct 4 15:05 access.log which will throw an error since awstats - running as www-data - can't read that file: Error: Couldn't open server log file "/var/log/apache2/access.log" : Permission denied

Now simply change it's group from adm to www-data in /etc/logrotate.d/apache2 and chmod all existing files in /var/log/apache2/. You also need to adjust the automatically installed cron entry and it's test command for your logfile in /etc/cron/awstats because Cron probably won't find your access.log in /var/log/apache/ when it's in /var/log/apache2.

Original Post (sorry, it's in german):

Angesichts eines wirklich sensibilisierenden Artikels auf heise security zu neuartigen Angriffsmöglichkeiten im Web, schaute ich mich kurz auf dem eigenen Server um und siehe da, nicht alle Pakete, die es verdienen stehen auch im volatile pool. Die Distro bot mir damals Awstats nur in der Version 6.5, die apt immer noch als aktuell markiert, dabei aber schon längst veraltet ist. Selbst die aktuelle stabile Version 6.8 ermöglicht laut Awstats-Website XSS Attacken. Nur schade, dass die 6.9 beta nicht so wirklich mag:

Global symbol "$pagecode" requires explicit package name at /usr/local/awstats/wwwroot/cgi-bin/awstats.pl line 556.
Execution of /usr/local/awstats/wwwroot/cgi-bin/awstats.pl aborted due to compilation errors.

Dann muss es eben erst einmal die 6.8 sein und los gehts etwas HOWTO-artig:

machine:/tmp# wget http://prdownloads.sourceforge.net/awstats/awstats-6.8.tar.gz && tar -xzf awstats-6.8.tar.gz

Erst holen und entpacken,
machine:/tmp# mv awstats-6.8 /usr/local/awstats

das Ganze an den richtigen Platz verschieben, da sonst das configure Script meckert und besagtes script ausführen:
machine:/tmp# cd /usr/local/awstats/tools
machine:/usr/local/awstats/tools# ./awstats_configure.pl

Dabei gibt es eigentlich keine Probleme. Beim Upgrade von 6.5 auf 6.8 mag awstats allerdings gern andere aliases in der apache2.conf stehen haben. Da müsst Ihr einfach mal überprüfen ob das alles noch klappt. Da ich meine vorherige Version gepurged hatte, waren natürlich die alten db-files aus /var/lib/awstats verschwunden, was aber recht schnell, zumindest für den zurückliegenden Monat mit

machine:/usr/local/awstats/tools# perl awstats_updateall.pl now

zu beheben ist.

Dieser Eintrag wurde verfasst am Oktober 3rd, 2008 um 19:11:09 und ist abgelegt unter Howtos, Open Source.
Schlagworte: awstats, debian

Trackback-Adresse für diesen Eintrag

Trackback-URL (Rechtsklick und Verknüpfungs-/Link-Adresse kopieren)

Noch kein Feedback

Einen Kommentar hinterlassen


Ihre E-Mail-Adresse wird nicht auf dieser Seite angezeigt.

Ihr URL wird angezeigt.
SchlechtExzellent
(Zeilenumbrüche werden zu <br />)
(Name, E-Mail-Adresse & Webseite)
(Benutzern erlauben, Sie durch ein Kontaktformular zu kontaktieren (Ihre E-Mail-Adresse wird nicht weitergegeben))