Уязвимость сервера.., нужна ваша помощь.:( |
Здравствуйте, гость ( Вход | Регистрация )
Настоящие Правила Раздела являются дополннением к Общим Правилам Конференции. В случаях противоречий отдельных пунктов, действуют Правила Раздела.
Уязвимость сервера.., нужна ваша помощь.:( |
Миша |
19.05.2010, 05:01
Сообщение
#1
|
Группа: Старые пользователи Сообщений: 9 Регистрация: 12.05.2010 Пользователь №: 11,898 Репутация: 184 |
Вообщем тут такое дело.. У меня свой сервер.. ВДС.
взял довольно давно его.. Чисто для себя под сайт.. И так же на моем сервере расположены сайты.. Штук 10. Взял так сказать себе людей и вот стучит в асю мне стучит знакомый человек и говорит у тебя свой сервер? Я ему да.. Он мои так и так..у тебя этот сайт? Точнее на твоем сервере.. Я ему да..он его сломан.. И видимо залил шелл дальше шлет мне это.. логин:x:501:501::/home/логин/ bin/bash логин:x:502:502::/home/логин: /bin/bash логин:x:505:505::/home/sobol:/ bin/false логин:x:509:509::/home/ логин:/bin/false логин:x:511:511::/home/ логин:/bin/bash логин:x:512:512::/home/ логин:/bin/bash логин:x:513:513::/home/kit635:/ bin/bash логин:x:514:514::/home/ логин/bin/bash логин:x:515:515::/home/логин: /bin/bash логин:x:517:517::/home/логин:/ bin/bash логин:x:518:518::/home/ логин:/bin/bash логин:x:519:519::/home/tmsko:/ bin/bash логин:x:520:520::/home/ логин:/bin/bash Потом он выложил мне мою корневую..че в ней лежит.. Вообщем я так понимаю он залил шелл пользователю и просто с его помощью дошел до моей директории.. Как излечить? Подскажите |
Миша |
19.05.2010, 05:40
Сообщение
#2
|
Группа: Старые пользователи Сообщений: 9 Регистрация: 12.05.2010 Пользователь №: 11,898 Репутация: 184 |
Вообщем что если отключить cgi?
|
Миша |
19.05.2010, 07:47
Сообщение
#3
|
Группа: Старые пользователи Сообщений: 9 Регистрация: 12.05.2010 Пользователь №: 11,898 Репутация: 184 |
Вообщем вырубил CGI. но все же . Нужно как то обезопасить..
|
Ivan |
19.05.2010, 09:41
Сообщение
#4
|
Отдыхаю Группа: Старые пользователи Сообщений: 3,533 Регистрация: 02.08.2002 Из: ЗАО "Рувеб" Пользователь №: 35 Репутация: 260 |
php не забудьте.
И ssh к Ip привяжите, хотя не факт, что дыра не в ftp например (IMG:style_emoticons/default/smile.gif) |
Миша |
19.05.2010, 09:55
Сообщение
#5
|
Группа: Старые пользователи Сообщений: 9 Регистрация: 12.05.2010 Пользователь №: 11,898 Репутация: 184 |
Иван.. Это нет..
вообщем один известный человек сломал форум phpBB_wap) у моего пользователя.. Я думаю он залил шелл и уже с его директории дошел до моего Аккаунта. Фтп Я не пользуясь. Я разговаривал с ним.(IMG:style_emoticons/default/smile.gif) он сказал отключай CGI. Когда еще был g5e.Ru хостинг мы тоже отключали CGI. |
Денис |
19.05.2010, 10:01
Сообщение
#6
|
Группа: Старые пользователи Сообщений: 663 Регистрация: 06.02.2003 Из: Finland, Kuopio Пользователь №: 131 Репутация: 243 |
дальше шлет мне это.. Это можно посмотреть почти на каждом сервере и в этом нет ничего критичного. Потом он выложил мне мою корневую..че в ней лежит.. Какую корневую? "/" со всякими бинарниками (/bin) и прочее? Опять же, ничего критичного. Не хотите показывать (также как и первое) - чрутьте. /root ? Поставьте права 750 /home/username/? Тогда разбирайтесь с правами и связкой php+apache, так как простановка прав будет зависеть непосредственно от нее. PS Наймите администратора ;) |
Maxim Volgin |
19.05.2010, 10:02
Сообщение
#7
|
Группа: Старые пользователи Сообщений: 448 Регистрация: 26.02.2008 Пользователь №: 7,018 Репутация: 197 |
Содержимое корневой папки и /etc/passwd не есть мега секьюрной информацией как провело на ЛЮБОМ хостинге его можно получить и посмотреть. Чтобы такого не было каждый клиент должен быть в jail chroot. А это есть задача не тривиальная.
|
Миша |
19.05.2010, 10:04
Сообщение
#8
|
Группа: Старые пользователи Сообщений: 9 Регистрация: 12.05.2010 Пользователь №: 11,898 Репутация: 184 |
Он выложил все что лежит в моей папки public_html
Права норм.. 755 644 |
Денис |
19.05.2010, 10:11
Сообщение
#9
|
Группа: Старые пользователи Сообщений: 663 Регистрация: 06.02.2003 Из: Finland, Kuopio Пользователь №: 131 Репутация: 243 |
он сказал отключай CGI. Еще можно отключить schuko (IMG:style_emoticons/default/biggrin.gif) Надежнее будет. CGI придумали, чтобы его отключать?.. Это не способ нерешения проблемы. Это заплата на ветхую ткань. На грамотно настроенном сервере cgi не мешает. У Вас проблемы с правами на хомяки пользователей. Это и нужно решать. 755 644 - это ненормально! |
Миша |
19.05.2010, 10:39
Сообщение
#10
|
Группа: Старые пользователи Сообщений: 9 Регистрация: 12.05.2010 Пользователь №: 11,898 Репутация: 184 |
Ну вот смотрите..
/domains 711/site.ru 711/public_html 755/ дальше идут файлы на них права 644 и папки с правами 755. Ну вот смотрите.. /domains 711/site.ru 711/public_html 755/ дальше идут файлы на них права 644 и папки с правами 755. |
Денис |
19.05.2010, 11:36
Сообщение
#11
|
Группа: Старые пользователи Сообщений: 663 Регистрация: 06.02.2003 Из: Finland, Kuopio Пользователь №: 131 Репутация: 243 |
Ну вот смотрите.. /domains 711/site.ru 711/public_html 755/ дальше идут файлы на них права 644 и папки с правами 755. Ну вот смотрите.. Да я такого насмотрелся уже много раз. (IMG:style_emoticons/default/smile.gif) Я изначально знал, что у Вас такие права. Администратор за денежку настроит сервер. Могу подсказать адресок (IMG:style_emoticons/default/wink.gif) |
Poverennov Sergey |
19.05.2010, 16:04
Сообщение
#12
|
В мире есть еще много граблей,на которые не ступала нога человек Группа: Старые пользователи Сообщений: 990 Регистрация: 09.10.2006 Из: Арзамас, НиНо Пользователь №: 3,916 Репутация: 220 |
BaseDir можно для начала еще попробовать отключить...
Ну и один раз настроить сервер и спать спокойно (ну хотя бы относительно спокойно) |
Maxim Volgin |
19.05.2010, 17:35
Сообщение
#13
|
Группа: Старые пользователи Сообщений: 448 Регистрация: 26.02.2008 Пользователь №: 7,018 Репутация: 197 |
Меня вот этот опен бесдир у хостеров всегда умилял. Хакеры как правило несколько умней хостеров и умеют пользоваться не только ПХП.
Я уже мочу что залить свое ПХП или запустить встроенное со своим конфигом как 2 пальца … |
Poverennov Sergey |
19.05.2010, 19:33
Сообщение
#14
|
В мире есть еще много граблей,на которые не ступала нога человек Группа: Старые пользователи Сообщений: 990 Регистрация: 09.10.2006 Из: Арзамас, НиНо Пользователь №: 3,916 Репутация: 220 |
Maxim Volgin,
я предложил один из вариантов.. с чего начитают юные хакеры после прочтения тематических форумов =) я и не говори, что это истина... Уж если копать, то копать =) |
different |
19.05.2010, 19:49
Сообщение
#15
|
Группа: Старые пользователи Сообщений: 804 Регистрация: 29.06.2008 Из: Народный комиссариат виртуальных дел Пользователь №: 7,738 Репутация: 209 |
OBD, IMHO, создан не от "злобных хакиров", а от людей, которые ставят лишний пробел в system('rm -rf / home/user/blah'). Ну и от любителей пошариться по чужим каталогам.
|
3axBaT |
19.05.2010, 20:13
Сообщение
#16
|
Группа: Старые пользователи Сообщений: 17 Регистрация: 23.07.2009 Пользователь №: 9,978 Репутация: 189 |
Просмотр корневой это не так страшно. Чтобы он не ушел за рамки вашего пользователя советую подключить open_basedir. Так же он может найти конфиг движка вашего и найти там пароль от базы и зайти к вам в базу и слить данные (если есть важные). напишите в icq 36шестьпять57, расскажу вам по этому поводу немного и посоветую что вам поставить.
|
Maxim Volgin |
19.05.2010, 20:54
Сообщение
#17
|
Группа: Старые пользователи Сообщений: 448 Регистрация: 26.02.2008 Пользователь №: 7,018 Репутация: 197 |
|
Anatoly Bogdanov |
20.05.2010, 01:08
Сообщение
#18
|
Группа: Старые пользователи Сообщений: 2,505 Регистрация: 18.07.2004 Из: RU, SPb Пользователь №: 553 Репутация: 233 |
chmod 700 /usr/bin/wget
mod_security |
Viktorich |
20.05.2010, 20:53
Сообщение
#19
|
Группа: Старые пользователи Сообщений: 37 Регистрация: 21.10.2008 Пользователь №: 8,274 Репутация: 195 |
Оставляете cgi
делаем группу hosting включаем в неё всех пользователей хостинга и к кому пользователи хостинга не должны заходить делаете chgrp hosting /home/USER chmod 701 /home/USER курите =) Сообщение отредактировал Viktorich - 20.05.2010, 20:54 |
lazutov |
20.05.2010, 22:53
Сообщение
#20
|
Графоман раздела претензий Группа: Старые пользователи Сообщений: 1,139 Регистрация: 21.06.2007 Из: MOW Пользователь №: 5,748 Репутация: 230 |
|
Viktorich |
21.05.2010, 07:51
Сообщение
#21
|
Группа: Старые пользователи Сообщений: 37 Регистрация: 21.10.2008 Пользователь №: 8,274 Репутация: 195 |
|
Денис |
21.05.2010, 09:58
Сообщение
#22
|
Группа: Старые пользователи Сообщений: 663 Регистрация: 06.02.2003 Из: Finland, Kuopio Пользователь №: 131 Репутация: 243 |
|
Maxim Volgin |
21.05.2010, 10:29
Сообщение
#23
|
Группа: Старые пользователи Сообщений: 448 Регистрация: 26.02.2008 Пользователь №: 7,018 Репутация: 197 |
По этому правильные права на файлы скриптов 600 (IMG:style_emoticons/default/smile.gif)
|
Денис |
21.05.2010, 14:23
Сообщение
#24
|
Группа: Старые пользователи Сообщений: 663 Регистрация: 06.02.2003 Из: Finland, Kuopio Пользователь №: 131 Репутация: 243 |
|
Maxim Volgin |
21.05.2010, 14:55
Сообщение
#25
|
Группа: Старые пользователи Сообщений: 448 Регистрация: 26.02.2008 Пользователь №: 7,018 Репутация: 197 |
В модуле не будет. А нормальном режиме очень даже. Модуль это для самоубийц.
|
Денис |
21.05.2010, 17:05
Сообщение
#26
|
Группа: Старые пользователи Сообщений: 663 Регистрация: 06.02.2003 Из: Finland, Kuopio Пользователь №: 131 Репутация: 243 |
К чему эти разговоры о том, что будет в некоем нормальном или ненормальном режиме?
- В так названном "нормальном режиме" не нужен бред в виде 701 - 701 позволяет пройти дальше и прочитать то, что внутри лежит с правами 644 (всем) - Если внутри лежит с правами 640 user:apache, то 701 позволяет прочитать и это (группе apache) - Если внутри ничего не лежит с правами 644 user:user или 640 user:apache и все при этом работает, значит имеем "нормальный режим" и см. первый пункт - Поправки на open_basedir не делаются, так как кроме php существуют и другие способы Это была матчасть. Остальное: - Модуль - это не есть ненормальный режим - У меня модуль, все работает от пользователя и прав достаточно 600/700 user:user - У кого-то php-cgi, тоже все работает от пользователя и тоже такие же права - У ТС права 755/644. Я ему на это проблему указал еще до того, как он опубликовал права - Ему адмынчеки предлагали отключить cgi, чтобы не попасть к чужому юзеру с помощью cgi при условии наличия ограничений open_basedir. SSH вероятно, он вообще не использует. О дырявых скриптах, при возломе которых можно получить права вебсервера, - не думает. К чему разглагольствования? Проблему ТСа нужно решать радикально - использованием php as cgi (или оригинальными решениями для mod_php) и простановкой прав user:user 750:640 (700:600). |
eSupport.org.ua |
21.05.2010, 18:02
Сообщение
#27
|
Одесский сисадмин Группа: Старые пользователи Сообщений: 5,200 Регистрация: 18.11.2004 Из: Одесса Пользователь №: 823 Репутация: 262 |
Ага. Только в его случае apache их прочитать не сможет (IMG:style_emoticons/default/wink.gif) Сможет Модули - они разные бывают |
Миша |
22.05.2010, 15:51
Сообщение
#28
|
Группа: Старые пользователи Сообщений: 9 Регистрация: 12.05.2010 Пользователь №: 11,898 Репутация: 184 |
Ребята.(IMG:style_emoticons/default/smile.gif) спасибо..впитал инфо..вроде.(IMG:style_emoticons/default/smile.gif)
|
Viktorich |
22.05.2010, 22:07
Сообщение
#29
|
Группа: Старые пользователи Сообщений: 37 Регистрация: 21.10.2008 Пользователь №: 8,274 Репутация: 195 |
- В так названном "нормальном режиме" не нужен бред в виде 701 - 701 позволяет пройти дальше и прочитать то, что внутри лежит с правами 644 (всем) - Если внутри лежит с правами 640 user:apache, то 701 позволяет прочитать и это (группе apache) - Если внутри ничего не лежит с правами 644 user:user или 640 user:apache и все при этом работает, значит имеем "нормальный режим" и см. первый пункт - Поправки на open_basedir не делаются, так как кроме php существуют и другие способы Это была матчасть. Остальное: - Модуль - это не есть ненормальный режим - У меня модуль, все работает от пользователя и прав достаточно 600/700 user:user - У кого-то php-cgi, тоже все работает от пользователя и тоже такие же права - У ТС права 755/644. Я ему на это проблему указал еще до того, как он опубликовал права - Ему адмынчеки предлагали отключить cgi, чтобы не попасть к чужому юзеру с помощью cgi при условии наличия ограничений open_basedir. SSH вероятно, он вообще не использует. О дырявых скриптах, при возломе которых можно получить права вебсервера, - не думает. К чему разглагольствования? Проблему ТСа нужно решать радикально - использованием php as cgi (или оригинальными решениями для mod_php) и простановкой прав user:user 750:640 (700:600). в том варианте что я предложил, с 701 никто кроме юзера и апача не пройдёт это каталог, а следовательно и дальше, и не сможет прочитать хоть 777 файлы... open_basedir считайте костыль с лишними вызовами, а следовательно ненужной нагрузкой, оно вам надо? используя php as cgi, скрипты с правами "user:user 750:640 (700:600)" апач просто не сможет прочесть... если только apache не входит в групу user... |
Текстовая версия | Сейчас: 29.03.2024, 00:52 |