Možno ste sa už niektorí s týmto doplnkom do webového daemonu Apache stretli. Jedná sa o doplnok (modul), ktorý umožňuje sledovať niekoľko zaujímavých informácií o danom serveri, ako napríklad, aké requesty (požiadavky) prichádzajú na daný server a odkiaľ.

Podľa domovskej stránky Apache je mod_status:

Modul Status umožňuje serverovým administrátorom sledovať, ako reaguje ich webový server na prichádzajúce požiadavky.

Modul zobrazuje tieto základne informácie a to v dvoch rôznych formátoch. Ľudsky čitateľný (human readable), alebo počítačový, umožňujúci napríklad parsovanie informácií robotom. Modul taktiež umožňuje automatický refresh, vďaka čomu je možné neustále sledovať aktuálne správanie servera.

Výpis potom vyzerá asi takto (mall.sk)
Current Time: Saturday, 28-Jun-2008 14:08:42 CEST
Restart Time: Friday, 27-Jun-2008 08:54:32 CEST
Parent Server Generation: 51
Server uptime: 1 day 5 hours 14 minutes 9 seconds
Total accesses: 983362 - Total Traffic: 6.2 GB
CPU Usage: u1895.57 s108.67 cu1.2 cs0 - 1.91% CPU load
9.34 requests/sec - 61.6 kB/second - 6.6 kB/request
23 requests currently being processed, 29 idle workersa to celé nasledované zoznamom requestov na daný server. Ako som už spomenul, tento výpis je možné nechať aktualizovať v akomkoľvek čase a to pridaním jednoduchého parametru za aktuálnu url.
http://mall.sk/server-status?refresh=5Číslo na konci označené červenou farbou potom predstavuje počet sekúnd, za aký sa má výpis obnoviť.

Inou možnosťou je zobraziť výpis tak, aby ho bolo možné jednoducho načítavať napríklad v robotovi. Ten je možné aktivovať pridaním parametru auto na koniec danej url.
http://mall.sk/server-status?autoRozdiel medzi týmto a formátovaným výpisom je hlavne ten, že prvý je úhľadne naformátované html, aby sa dalo veľmi dobre vizuálne čítať, kdežto druhý výpis je čisto plain/textový, aby s ním mohol pracovať každý jednoduchý skript a nebolo potrebné využívať priveľa regulárnych výrazov.

Asi sa sami pýtate, čo je na tomto module nebezpečné. Modul je sám o sebe určite veľmi užitočný a to hlavne pre samotných administrátorov, ktorí cez neho dokážu získať mnoho zaujimavých informácií a ďalej dolaďovať samotný server. Ako to však býva, aj tu sa naskytá možnosť, ako tento modul zneužiť. Keďže sa v module zobrazujú aj adresy, z ktorých prišla požiadavka na spracovanie, môže sa poľahky stať, že niekto z administrátorov otvorí tajný priečinok, kde budú uložené zaujímavé informácie, ako napríklad faktúry, alebo že CRON otvorí skript, ktorý napríklad zasiela výsledky dnešných transakcií na email a mnoho iného. Ak web využíva session a tokeny, je takto veľmi jednoduché získať ich a ďalej s nimi pracovať. Vo výpise sa ku každému requestu zobrazuje aj IP adresa, z ktorého bol daný request vykonaný. Takto je možné odhaliť aj vnútornú štruktúru siete danej spoločnosti, či získať možný cieľ. Možností je mnoho a preto by sa určite nemalo stávať, že bude tento modul zapnutý na ostrej prevádzke, poprípade že bude dostupný len na heslo. V opačnom prípade si koledujú o veľké problémy.

Na Slovensku je takýchto webov, ktoré majú zapnutý Status modul až 1048, ich zoznam si môžete pozrieť nižšie. Donedávna k nim patril napríklad aj zoznam.sk, ten už však tento modul vypol. Dnes má tento modul zapnutý a verejne prístupný napríklad jeden z najväčších internetových obchodov u nás a v Čechách, Mall na všetkých svojich doménach a množstvo ďalších. Vrelo im odporúčam začať sa aktívne zaujímať o zabezpečenie vlastných portálov, inak môžu na svoj ležérny prístup ľahko doplatiť.