Вообщем тут такое дело.. У меня свой сервер.. ВДС.
взял довольно давно его.. Чисто для себя под сайт..
И так же на моем сервере расположены сайты.. Штук 10.
Взял так сказать себе людей
и вот стучит в асю мне стучит знакомый человек и говорит у тебя свой сервер?
Я ему да.. Он мои так и так..у тебя этот сайт? Точнее на твоем сервере.. Я ему да..он его сломан.. И видимо залил шелл
дальше шлет мне это..
логин:x:501:501::/home/логин/
bin/bash
логин:x:502:502::/home/логин:
/bin/bash
логин:x:505:505::/home/sobol:/
bin/false
логин:x:509:509::/home/
логин:/bin/false
логин:x:511:511::/home/
логин:/bin/bash
логин:x:512:512::/home/
логин:/bin/bash
логин:x:513:513::/home/kit635:/
bin/bash
логин:x:514:514::/home/
логин/bin/bash
логин:x:515:515::/home/логин:
/bin/bash
логин:x:517:517::/home/логин:/
bin/bash
логин:x:518:518::/home/
логин:/bin/bash
логин:x:519:519::/home/tmsko:/
bin/bash
логин:x:520:520::/home/
логин:/bin/bash
Потом он выложил мне мою корневую..че в ней лежит..
Вообщем я так понимаю он залил шелл пользователю и просто с его помощью дошел до моей директории..
Как излечить? Подскажите
Вообщем что если отключить cgi?
Вообщем вырубил CGI. но все же . Нужно как то обезопасить..
php не забудьте.
И ssh к Ip привяжите, хотя не факт, что дыра не в ftp например
Иван.. Это нет..
вообщем один известный человек сломал форум phpBB_wap) у моего пользователя.. Я думаю он залил шелл и уже с его директории дошел до моего Аккаунта.
Фтп Я не пользуясь.
Я разговаривал с ним.
он сказал отключай CGI.
Когда еще был g5e.Ru хостинг мы тоже отключали CGI.
Содержимое корневой папки и /etc/passwd не есть мега секьюрной информацией как провело на ЛЮБОМ хостинге его можно получить и посмотреть. Чтобы такого не было каждый клиент должен быть в jail chroot. А это есть задача не тривиальная.
Он выложил все что лежит в моей папки public_html
Права норм..
755
644
Ну вот смотрите..
/domains 711/site.ru 711/public_html 755/ дальше идут файлы на них права 644 и папки с правами 755.
Ну вот смотрите..
/domains 711/site.ru 711/public_html 755/ дальше идут файлы на них права 644 и папки с правами 755.
BaseDir можно для начала еще попробовать отключить...
Ну и один раз настроить сервер и спать спокойно (ну хотя бы относительно спокойно)
Меня вот этот опен бесдир у хостеров всегда умилял. Хакеры как правило несколько умней хостеров и умеют пользоваться не только ПХП.
Я уже мочу что залить свое ПХП или запустить встроенное со своим конфигом как 2 пальца …
Maxim Volgin,
я предложил один из вариантов.. с чего начитают юные хакеры после прочтения тематических форумов =) я и не говори, что это истина... Уж если копать, то копать =)
OBD, IMHO, создан не от "злобных хакиров", а от людей, которые ставят лишний пробел в system('rm -rf / home/user/blah'). Ну и от любителей пошариться по чужим каталогам.
Просмотр корневой это не так страшно. Чтобы он не ушел за рамки вашего пользователя советую подключить open_basedir. Так же он может найти конфиг движка вашего и найти там пароль от базы и зайти к вам в базу и слить данные (если есть важные). напишите в icq 36шестьпять57, расскажу вам по этому поводу немного и посоветую что вам поставить.
chmod 700 /usr/bin/wget
mod_security
Оставляете cgi
делаем группу
hosting
включаем в неё всех пользователей хостинга и к кому пользователи хостинга не должны заходить
делаете
chgrp hosting /home/USER
chmod 701 /home/USER
курите =)
По этому правильные права на файлы скриптов 600
В модуле не будет. А нормальном режиме очень даже. Модуль это для самоубийц.
К чему эти разговоры о том, что будет в некоем нормальном или ненормальном режиме?
- В так названном "нормальном режиме" не нужен бред в виде 701
- 701 позволяет пройти дальше и прочитать то, что внутри лежит с правами 644 (всем)
- Если внутри лежит с правами 640 user:apache, то 701 позволяет прочитать и это (группе apache)
- Если внутри ничего не лежит с правами 644 user:user или 640 user:apache и все при этом работает, значит имеем "нормальный режим" и см. первый пункт
- Поправки на open_basedir не делаются, так как кроме php существуют и другие способы
Это была матчасть.
Остальное:
- Модуль - это не есть ненормальный режим
- У меня модуль, все работает от пользователя и прав достаточно 600/700 user:user
- У кого-то php-cgi, тоже все работает от пользователя и тоже такие же права
- У ТС права 755/644. Я ему на это проблему указал еще до того, как он опубликовал права
- Ему адмынчеки предлагали отключить cgi, чтобы не попасть к чужому юзеру с помощью cgi при условии наличия ограничений open_basedir. SSH вероятно, он вообще не использует. О дырявых скриптах, при возломе которых можно получить права вебсервера, - не думает.
К чему разглагольствования? Проблему ТСа нужно решать радикально - использованием php as cgi (или оригинальными решениями для mod_php) и простановкой прав user:user 750:640 (700:600).
Ребята. спасибо..впитал инфо..вроде.
Русская версия Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)