Версия для печати темы
Нажмите сюда для просмотра этой темы в обычном формате
Онлайн-форум hostobzor.ru _ Виртуальный сервер и Виртуальный Выделенный Сервер _ Уязвимость сервера..
Автор: Миша 19.05.2010, 05:01
Вообщем тут такое дело.. У меня свой сервер.. ВДС.
взял довольно давно его.. Чисто для себя под сайт..
И так же на моем сервере расположены сайты.. Штук 10.
Взял так сказать себе людей
и вот стучит в асю мне стучит знакомый человек и говорит у тебя свой сервер?
Я ему да.. Он мои так и так..у тебя этот сайт? Точнее на твоем сервере.. Я ему да..он его сломан.. И видимо залил шелл
дальше шлет мне это..
логин:x:501:501::/home/логин/
bin/bash
логин:x:502:502::/home/логин:
/bin/bash
логин:x:505:505::/home/sobol:/
bin/false
логин:x:509:509::/home/
логин:/bin/false
логин:x:511:511::/home/
логин:/bin/bash
логин:x:512:512::/home/
логин:/bin/bash
логин:x:513:513::/home/kit635:/
bin/bash
логин:x:514:514::/home/
логин/bin/bash
логин:x:515:515::/home/логин:
/bin/bash
логин:x:517:517::/home/логин:/
bin/bash
логин:x:518:518::/home/
логин:/bin/bash
логин:x:519:519::/home/tmsko:/
bin/bash
логин:x:520:520::/home/
логин:/bin/bash
Потом он выложил мне мою корневую..че в ней лежит..
Вообщем я так понимаю он залил шелл пользователю и просто с его помощью дошел до моей директории..
Как излечить? Подскажите
Автор: Миша 19.05.2010, 05:40
Вообщем что если отключить cgi?
Автор: Миша 19.05.2010, 07:47
Вообщем вырубил CGI. но все же . Нужно как то обезопасить..
Автор: Ivan 19.05.2010, 09:41
php не забудьте.
И ssh к Ip привяжите, хотя не факт, что дыра не в ftp например 
Автор: Миша 19.05.2010, 09:55
Иван.. Это нет..
вообщем один известный человек сломал форум phpBB_wap) у моего пользователя.. Я думаю он залил шелл и уже с его директории дошел до моего Аккаунта.
Фтп Я не пользуясь.
Я разговаривал с ним.
он сказал отключай CGI.
Когда еще был g5e.Ru хостинг мы тоже отключали CGI.
Автор: Денис 19.05.2010, 10:01
дальше шлет мне это..
Это можно посмотреть почти на каждом сервере и в этом нет ничего критичного.
Потом он выложил мне мою корневую..че в ней лежит..
Какую корневую?
"/" со всякими бинарниками (/bin) и прочее? Опять же, ничего критичного. Не хотите показывать (также как и первое) - чрутьте.
/root ? Поставьте права 750
/home/username/?
Тогда разбирайтесь с правами и связкой php+apache, так как простановка прав будет зависеть непосредственно от нее.
PS
Наймите администратора ;)
Автор: Maxim Volgin 19.05.2010, 10:02
Содержимое корневой папки и /etc/passwd не есть мега секьюрной информацией как провело на ЛЮБОМ хостинге его можно получить и посмотреть. Чтобы такого не было каждый клиент должен быть в jail chroot. А это есть задача не тривиальная.
Автор: Миша 19.05.2010, 10:04
Он выложил все что лежит в моей папки public_html
Права норм..
755
644
Автор: Денис 19.05.2010, 10:11
он сказал отключай CGI.
Еще можно отключить schuko
Надежнее будет.CGI придумали, чтобы его отключать?..
Это не способ нерешения проблемы. Это заплата на ветхую ткань.
На грамотно настроенном сервере cgi не мешает.
У Вас проблемы с правами на хомяки пользователей. Это и нужно решать.
755 644 - это ненормально!
Автор: Миша 19.05.2010, 10:39
Ну вот смотрите..
/domains 711/site.ru 711/public_html 755/ дальше идут файлы на них права 644 и папки с правами 755.
Ну вот смотрите..
/domains 711/site.ru 711/public_html 755/ дальше идут файлы на них права 644 и папки с правами 755.
Автор: Денис 19.05.2010, 11:36
Ну вот смотрите..
/domains 711/site.ru 711/public_html 755/ дальше идут файлы на них права 644 и папки с правами 755.
Ну вот смотрите..
Да я такого насмотрелся уже много раз.
Я изначально знал, что у Вас такие права. Администратор за денежку настроит сервер. Могу подсказать адресок 
Автор: Poverennov Sergey 19.05.2010, 16:04
BaseDir можно для начала еще попробовать отключить...
Ну и один раз настроить сервер и спать спокойно (ну хотя бы относительно спокойно)
Автор: Maxim Volgin 19.05.2010, 17:35
Меня вот этот опен бесдир у хостеров всегда умилял. Хакеры как правило несколько умней хостеров и умеют пользоваться не только ПХП.
Я уже мочу что залить свое ПХП или запустить встроенное со своим конфигом как 2 пальца …
Автор: Poverennov Sergey 19.05.2010, 19:33
Maxim Volgin,
я предложил один из вариантов.. с чего начитают юные хакеры после прочтения тематических форумов =) я и не говори, что это истина... Уж если копать, то копать =)
Автор: different 19.05.2010, 19:49
OBD, IMHO, создан не от "злобных хакиров", а от людей, которые ставят лишний пробел в system('rm -rf / home/user/blah'). Ну и от любителей пошариться по чужим каталогам.
Автор: 3axBaT 19.05.2010, 20:13
Просмотр корневой это не так страшно. Чтобы он не ушел за рамки вашего пользователя советую подключить open_basedir. Так же он может найти конфиг движка вашего и найти там пароль от базы и зайти к вам в базу и слить данные (если есть важные). напишите в icq 36шестьпять57, расскажу вам по этому поводу немного и посоветую что вам поставить.
Автор: Maxim Volgin 19.05.2010, 20:54
а от людей, которые ставят лишний пробел в system('rm -rf / home/user/blah'). Ну и от любителей пошариться по чужим каталогам.
Оно на вызов системных команд не распространяться. А любители пошариться обдут это "защиту" за 30 секунд.
Автор: Anatoly Bogdanov 20.05.2010, 01:08
chmod 700 /usr/bin/wget
mod_security
Автор: Viktorich 20.05.2010, 20:53
Оставляете cgi
делаем группу
hosting
включаем в неё всех пользователей хостинга и к кому пользователи хостинга не должны заходить
делаете
chgrp hosting /home/USER
chmod 701 /home/USER
курите =)
Автор: lazutov 20.05.2010, 22:53
Оставляете cgi
делаем группу
hosting
включаем в неё всех пользователей хостинга и к кому пользователи хостинга не должны заходить
делаете
chgrp hosting /home/USER
chmod 701 /home/USER
курите =)
А самое интересное: апач то от кого запускать?
Автор: Viktorich 21.05.2010, 07:51
А самое интересное: апач то от кого запускать?
от пользователя apache, 701 даёт права апачу ходить по каталогам юзеров.
Автор: Денис 21.05.2010, 09:58
от пользователя apache, 701 даёт права апачу ходить по каталогам юзеров.
Угу. И с таким же успехом читать все, что внутри лежит с правами 644.
Эх, адмынчики...
Автор: Maxim Volgin 21.05.2010, 10:29
По этому правильные права на файлы скриптов 600
Автор: Денис 21.05.2010, 14:23
По этому правильные права на файлы скриптов 600 :)
Ага. Только в его случае apache их прочитать не сможет ;)
Автор: Maxim Volgin 21.05.2010, 14:55
В модуле не будет. А нормальном режиме очень даже. Модуль это для самоубийц.
Автор: Денис 21.05.2010, 17:05
К чему эти разговоры о том, что будет в некоем нормальном или ненормальном режиме?
- В так названном "нормальном режиме" не нужен бред в виде 701
- 701 позволяет пройти дальше и прочитать то, что внутри лежит с правами 644 (всем)
- Если внутри лежит с правами 640 user:apache, то 701 позволяет прочитать и это (группе apache)
- Если внутри ничего не лежит с правами 644 user:user или 640 user:apache и все при этом работает, значит имеем "нормальный режим" и см. первый пункт
- Поправки на open_basedir не делаются, так как кроме php существуют и другие способы
Это была матчасть.
Остальное:
- Модуль - это не есть ненормальный режим
- У меня модуль, все работает от пользователя и прав достаточно 600/700 user:user
- У кого-то php-cgi, тоже все работает от пользователя и тоже такие же права
- У ТС права 755/644. Я ему на это проблему указал еще до того, как он опубликовал права
- Ему адмынчеки предлагали отключить cgi, чтобы не попасть к чужому юзеру с помощью cgi при условии наличия ограничений open_basedir. SSH вероятно, он вообще не использует. О дырявых скриптах, при возломе которых можно получить права вебсервера, - не думает.
К чему разглагольствования? Проблему ТСа нужно решать радикально - использованием php as cgi (или оригинальными решениями для mod_php) и простановкой прав user:user 750:640 (700:600).
Автор: eSupport.org.ua 21.05.2010, 18:02
Ага. Только в его случае apache их прочитать не сможет
Сможет
Модули - они разные бывают
Автор: Миша 22.05.2010, 15:51
Ребята. спасибо..впитал инфо..вроде.
Автор: Viktorich 22.05.2010, 22:07
- В так названном "нормальном режиме" не нужен бред в виде 701
- 701 позволяет пройти дальше и прочитать то, что внутри лежит с правами 644 (всем)
- Если внутри лежит с правами 640 user:apache, то 701 позволяет прочитать и это (группе apache)
- Если внутри ничего не лежит с правами 644 user:user или 640 user:apache и все при этом работает, значит имеем "нормальный режим" и см. первый пункт
- Поправки на open_basedir не делаются, так как кроме php существуют и другие способы
Это была матчасть.
Остальное:
- Модуль - это не есть ненормальный режим
- У меня модуль, все работает от пользователя и прав достаточно 600/700 user:user
- У кого-то php-cgi, тоже все работает от пользователя и тоже такие же права
- У ТС права 755/644. Я ему на это проблему указал еще до того, как он опубликовал права
- Ему адмынчеки предлагали отключить cgi, чтобы не попасть к чужому юзеру с помощью cgi при условии наличия ограничений open_basedir. SSH вероятно, он вообще не использует. О дырявых скриптах, при возломе которых можно получить права вебсервера, - не думает.
К чему разглагольствования? Проблему ТСа нужно решать радикально - использованием php as cgi (или оригинальными решениями для mod_php) и простановкой прав user:user 750:640 (700:600).
в том варианте что я предложил, с 701 никто кроме юзера и апача не пройдёт это каталог, а следовательно и дальше, и не сможет прочитать хоть 777 файлы...
open_basedir считайте костыль с лишними вызовами, а следовательно ненужной нагрузкой, оно вам надо?
используя php as cgi, скрипты с правами "user:user 750:640 (700:600)" апач просто не сможет прочесть... если только apache не входит в групу user...
Русская версия Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)