Хостинг - Обзор: эпицентр русскоязычного хостинга

Здравствуйте, гость ( Вход | Регистрация )

> Правила раздела

Настоящие Правила Раздела являются дополннением к Общим Правилам Конференции. В случаях противоречий отдельных пунктов, действуют Правила Раздела.

Запрещается

  1. Обсуждение хостинговых компаний и качества предоставляемых ими услуг.
  2. Реклама и антиреклама услуг хостинговых компаний.
  3. Навязывание собственных услуг в любом виде.
    Участникам Клуба хостинг-провайдеров разрешено давать ссылки на профайл своей компании в каталоге хостинга только в случае явного запроса услуг потенциальным клиентом. При поиске автором темы уникальных или специфических услуг, не описанных в каталоге хостинга, допускается информирование клиента о предоставлении таковых только персонально в личных сообщениях или с использованием другой контактной информации из профайла автора темы.

> Уязвимость сервера.., нужна ваша помощь.:(
Миша
сообщение 19.05.2010, 05:01
Сообщение #1





Группа: Старые пользователи
Сообщений: 9
Регистрация: 12.05.2010
Пользователь №: 11,898


Репутация: 158


Вообщем тут такое дело.. У меня свой сервер.. ВДС.


взял довольно давно его.. Чисто для себя под сайт..


И так же на моем сервере расположены сайты.. Штук 10.


Взял так сказать себе людей


и вот стучит в асю мне стучит знакомый человек и говорит у тебя свой сервер?


Я ему да.. Он мои так и так..у тебя этот сайт? Точнее на твоем сервере.. Я ему да..он его сломан.. И видимо залил шелл


дальше шлет мне это..


логин:x:501:501::/home/логин/


bin/bash


логин:x:502:502::/home/логин:


/bin/bash


логин:x:505:505::/home/sobol:/


bin/false


логин:x:509:509::/home/


логин:/bin/false


логин:x:511:511::/home/


логин:/bin/bash


логин:x:512:512::/home/


логин:/bin/bash


логин:x:513:513::/home/kit635:/


bin/bash


логин:x:514:514::/home/


логин/bin/bash


логин:x:515:515::/home/логин:


/bin/bash


логин:x:517:517::/home/логин:/


bin/bash


логин:x:518:518::/home/


логин:/bin/bash
логин:x:519:519::/home/tmsko:/
bin/bash
логин:x:520:520::/home/
логин:/bin/bash

Потом он выложил мне мою корневую..че в ней лежит..

Вообщем я так понимаю он залил шелл пользователю и просто с его помощью дошел до моей директории..

Как излечить? Подскажите
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
 
Reply to this topicStart new topic
Ответов(1 - 28)
Миша
сообщение 19.05.2010, 05:40
Сообщение #2





Группа: Старые пользователи
Сообщений: 9
Регистрация: 12.05.2010
Пользователь №: 11,898


Репутация: 158


Вообщем что если отключить cgi?
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Миша
сообщение 19.05.2010, 07:47
Сообщение #3





Группа: Старые пользователи
Сообщений: 9
Регистрация: 12.05.2010
Пользователь №: 11,898


Репутация: 158


Вообщем вырубил CGI. но все же . Нужно как то обезопасить..
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Ivan
сообщение 19.05.2010, 09:41
Сообщение #4


Отдыхаю


Группа: Старые пользователи
Сообщений: 3,533
Регистрация: 02.08.2002
Из: ЗАО "Рувеб"
Пользователь №: 35


Репутация: 234


php не забудьте.
И ssh к Ip привяжите, хотя не факт, что дыра не в ftp например (IMG:style_emoticons/default/smile.gif)
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Миша
сообщение 19.05.2010, 09:55
Сообщение #5





Группа: Старые пользователи
Сообщений: 9
Регистрация: 12.05.2010
Пользователь №: 11,898


Репутация: 158


Иван.. Это нет..


вообщем один известный человек сломал форум phpBB_wap) у моего пользователя.. Я думаю он залил шелл и уже с его директории дошел до моего Аккаунта.


Фтп Я не пользуясь.

Я разговаривал с ним.(IMG:style_emoticons/default/smile.gif)


он сказал отключай CGI.


Когда еще был g5e.Ru хостинг мы тоже отключали CGI.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Денис
сообщение 19.05.2010, 10:01
Сообщение #6





Группа: Старые пользователи
Сообщений: 663
Регистрация: 06.02.2003
Из: Finland, Kuopio
Пользователь №: 131


Репутация: 217


Цитата(Миша @ 19.05.2010, 05:01) *

дальше шлет мне это..

Это можно посмотреть почти на каждом сервере и в этом нет ничего критичного.

Цитата(Миша @ 19.05.2010, 05:01) *

Потом он выложил мне мою корневую..че в ней лежит..

Какую корневую?

"/" со всякими бинарниками (/bin) и прочее? Опять же, ничего критичного. Не хотите показывать (также как и первое) - чрутьте.

/root ? Поставьте права 750

/home/username/?
Тогда разбирайтесь с правами и связкой php+apache, так как простановка прав будет зависеть непосредственно от нее.

PS
Наймите администратора ;)
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Maxim Volgin
сообщение 19.05.2010, 10:02
Сообщение #7





Группа: Старые пользователи
Сообщений: 448
Регистрация: 26.02.2008
Пользователь №: 7,018


Репутация: 171


Содержимое корневой папки и /etc/passwd не есть мега секьюрной информацией как провело на ЛЮБОМ хостинге его можно получить и посмотреть. Чтобы такого не было каждый клиент должен быть в jail chroot. А это есть задача не тривиальная.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Миша
сообщение 19.05.2010, 10:04
Сообщение #8





Группа: Старые пользователи
Сообщений: 9
Регистрация: 12.05.2010
Пользователь №: 11,898


Репутация: 158


Он выложил все что лежит в моей папки public_html

Права норм..

755
644
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Денис
сообщение 19.05.2010, 10:11
Сообщение #9





Группа: Старые пользователи
Сообщений: 663
Регистрация: 06.02.2003
Из: Finland, Kuopio
Пользователь №: 131


Репутация: 217


Цитата(Миша @ 19.05.2010, 09:55) *

он сказал отключай CGI.


Еще можно отключить schuko (IMG:style_emoticons/default/biggrin.gif) Надежнее будет.
CGI придумали, чтобы его отключать?..
Это не способ нерешения проблемы. Это заплата на ветхую ткань.
На грамотно настроенном сервере cgi не мешает.
У Вас проблемы с правами на хомяки пользователей. Это и нужно решать.

755
644 - это ненормально!
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Миша
сообщение 19.05.2010, 10:39
Сообщение #10





Группа: Старые пользователи
Сообщений: 9
Регистрация: 12.05.2010
Пользователь №: 11,898


Репутация: 158


Ну вот смотрите..


/domains 711/site.ru 711/public_html 755/ дальше идут файлы на них права 644 и папки с правами 755.

Ну вот смотрите..

/domains 711/site.ru 711/public_html 755/ дальше идут файлы на них права 644 и папки с правами 755.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Денис
сообщение 19.05.2010, 11:36
Сообщение #11





Группа: Старые пользователи
Сообщений: 663
Регистрация: 06.02.2003
Из: Finland, Kuopio
Пользователь №: 131


Репутация: 217


Цитата(Миша @ 19.05.2010, 10:39) *

Ну вот смотрите..
/domains 711/site.ru 711/public_html 755/ дальше идут файлы на них права 644 и папки с правами 755.

Ну вот смотрите..

Да я такого насмотрелся уже много раз. (IMG:style_emoticons/default/smile.gif) Я изначально знал, что у Вас такие права. Администратор за денежку настроит сервер. Могу подсказать адресок (IMG:style_emoticons/default/wink.gif)
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Poverennov Sergey
сообщение 19.05.2010, 16:04
Сообщение #12


В мире есть еще много граблей,на которые не ступала нога человек


Группа: Старые пользователи
Сообщений: 990
Регистрация: 09.10.2006
Из: Арзамас, НиНо
Пользователь №: 3,916


Репутация: 194


BaseDir можно для начала еще попробовать отключить...
Ну и один раз настроить сервер и спать спокойно (ну хотя бы относительно спокойно)
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Maxim Volgin
сообщение 19.05.2010, 17:35
Сообщение #13





Группа: Старые пользователи
Сообщений: 448
Регистрация: 26.02.2008
Пользователь №: 7,018


Репутация: 171


Меня вот этот опен бесдир у хостеров всегда умилял. Хакеры как правило несколько умней хостеров и умеют пользоваться не только ПХП.

Я уже мочу что залить свое ПХП или запустить встроенное со своим конфигом как 2 пальца …
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Poverennov Sergey
сообщение 19.05.2010, 19:33
Сообщение #14


В мире есть еще много граблей,на которые не ступала нога человек


Группа: Старые пользователи
Сообщений: 990
Регистрация: 09.10.2006
Из: Арзамас, НиНо
Пользователь №: 3,916


Репутация: 194


Maxim Volgin,
я предложил один из вариантов.. с чего начитают юные хакеры после прочтения тематических форумов =) я и не говори, что это истина... Уж если копать, то копать =)
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
different
сообщение 19.05.2010, 19:49
Сообщение #15





Группа: Старые пользователи
Сообщений: 804
Регистрация: 29.06.2008
Из: Народный комиссариат виртуальных дел
Пользователь №: 7,738


Репутация: 183


OBD, IMHO, создан не от "злобных хакиров", а от людей, которые ставят лишний пробел в system('rm -rf / home/user/blah'). Ну и от любителей пошариться по чужим каталогам.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
3axBaT
сообщение 19.05.2010, 20:13
Сообщение #16





Группа: Старые пользователи
Сообщений: 17
Регистрация: 23.07.2009
Пользователь №: 9,978


Репутация: 163


Просмотр корневой это не так страшно. Чтобы он не ушел за рамки вашего пользователя советую подключить open_basedir. Так же он может найти конфиг движка вашего и найти там пароль от базы и зайти к вам в базу и слить данные (если есть важные). напишите в icq 36шестьпять57, расскажу вам по этому поводу немного и посоветую что вам поставить.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Maxim Volgin
сообщение 19.05.2010, 20:54
Сообщение #17





Группа: Старые пользователи
Сообщений: 448
Регистрация: 26.02.2008
Пользователь №: 7,018


Репутация: 171


Цитата(different @ 19.05.2010, 19:49) *

а от людей, которые ставят лишний пробел в system('rm -rf / home/user/blah'). Ну и от любителей пошариться по чужим каталогам.


Оно на вызов системных команд не распространяться. А любители пошариться обдут это "защиту" за 30 секунд.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Anatoly Bogdanov
сообщение 20.05.2010, 01:08
Сообщение #18





Группа: Старые пользователи
Сообщений: 2,505
Регистрация: 18.07.2004
Из: RU, SPb
Пользователь №: 553


Репутация: 207


chmod 700 /usr/bin/wget
mod_security
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Viktorich
сообщение 20.05.2010, 20:53
Сообщение #19





Группа: Старые пользователи
Сообщений: 37
Регистрация: 21.10.2008
Пользователь №: 8,274


Репутация: 168


Оставляете cgi
делаем группу
hosting
включаем в неё всех пользователей хостинга и к кому пользователи хостинга не должны заходить
делаете
chgrp hosting /home/USER
chmod 701 /home/USER
курите =)


Сообщение отредактировал Viktorich - 20.05.2010, 20:54
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
lazutov
сообщение 20.05.2010, 22:53
Сообщение #20


Графоман раздела претензий


Группа: Старые пользователи
Сообщений: 1,139
Регистрация: 21.06.2007
Из: MOW
Пользователь №: 5,748


Репутация: 204


Цитата(Viktorich @ 20.05.2010, 21:53) *

Оставляете cgi
делаем группу
hosting
включаем в неё всех пользователей хостинга и к кому пользователи хостинга не должны заходить
делаете
chgrp hosting /home/USER
chmod 701 /home/USER
курите =)

А самое интересное: апач то от кого запускать?
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Viktorich
сообщение 21.05.2010, 07:51
Сообщение #21





Группа: Старые пользователи
Сообщений: 37
Регистрация: 21.10.2008
Пользователь №: 8,274


Репутация: 168


Цитата(lazutov @ 20.05.2010, 23:53) *

А самое интересное: апач то от кого запускать?

от пользователя apache, 701 даёт права апачу ходить по каталогам юзеров.

Сообщение отредактировал Viktorich - 21.05.2010, 07:52
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Денис
сообщение 21.05.2010, 09:58
Сообщение #22





Группа: Старые пользователи
Сообщений: 663
Регистрация: 06.02.2003
Из: Finland, Kuopio
Пользователь №: 131


Репутация: 217


Цитата(Viktorich @ 21.05.2010, 07:51) *

от пользователя apache, 701 даёт права апачу ходить по каталогам юзеров.

Угу. И с таким же успехом читать все, что внутри лежит с правами 644.

Эх, адмынчики...
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Maxim Volgin
сообщение 21.05.2010, 10:29
Сообщение #23





Группа: Старые пользователи
Сообщений: 448
Регистрация: 26.02.2008
Пользователь №: 7,018


Репутация: 171


По этому правильные права на файлы скриптов 600 (IMG:style_emoticons/default/smile.gif)
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Денис
сообщение 21.05.2010, 14:23
Сообщение #24





Группа: Старые пользователи
Сообщений: 663
Регистрация: 06.02.2003
Из: Finland, Kuopio
Пользователь №: 131


Репутация: 217


Цитата(Maxim Volgin @ 21.05.2010, 10:29) *

По этому правильные права на файлы скриптов 600 :)

Ага. Только в его случае apache их прочитать не сможет ;)
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Maxim Volgin
сообщение 21.05.2010, 14:55
Сообщение #25





Группа: Старые пользователи
Сообщений: 448
Регистрация: 26.02.2008
Пользователь №: 7,018


Репутация: 171


В модуле не будет. А нормальном режиме очень даже. Модуль это для самоубийц.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Денис
сообщение 21.05.2010, 17:05
Сообщение #26





Группа: Старые пользователи
Сообщений: 663
Регистрация: 06.02.2003
Из: Finland, Kuopio
Пользователь №: 131


Репутация: 217


К чему эти разговоры о том, что будет в некоем нормальном или ненормальном режиме?

- В так названном "нормальном режиме" не нужен бред в виде 701
- 701 позволяет пройти дальше и прочитать то, что внутри лежит с правами 644 (всем)
- Если внутри лежит с правами 640 user:apache, то 701 позволяет прочитать и это (группе apache)
- Если внутри ничего не лежит с правами 644 user:user или 640 user:apache и все при этом работает, значит имеем "нормальный режим" и см. первый пункт
- Поправки на open_basedir не делаются, так как кроме php существуют и другие способы
Это была матчасть.

Остальное:
- Модуль - это не есть ненормальный режим
- У меня модуль, все работает от пользователя и прав достаточно 600/700 user:user
- У кого-то php-cgi, тоже все работает от пользователя и тоже такие же права
- У ТС права 755/644. Я ему на это проблему указал еще до того, как он опубликовал права
- Ему адмынчеки предлагали отключить cgi, чтобы не попасть к чужому юзеру с помощью cgi при условии наличия ограничений open_basedir. SSH вероятно, он вообще не использует. О дырявых скриптах, при возломе которых можно получить права вебсервера, - не думает.

К чему разглагольствования? Проблему ТСа нужно решать радикально - использованием php as cgi (или оригинальными решениями для mod_php) и простановкой прав user:user 750:640 (700:600).
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
eSupport.org.ua
сообщение 21.05.2010, 18:02
Сообщение #27


Одесский сисадмин


Группа: Старые пользователи
Сообщений: 5,200
Регистрация: 18.11.2004
Из: Одесса
Пользователь №: 823


Репутация: 236


Цитата(Денис @ 21.05.2010, 14:23) *

Ага. Только в его случае apache их прочитать не сможет (IMG:style_emoticons/default/wink.gif)


Сможет
Модули - они разные бывают

User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Миша
сообщение 22.05.2010, 15:51
Сообщение #28





Группа: Старые пользователи
Сообщений: 9
Регистрация: 12.05.2010
Пользователь №: 11,898


Репутация: 158


Ребята.(IMG:style_emoticons/default/smile.gif) спасибо..впитал инфо..вроде.(IMG:style_emoticons/default/smile.gif)
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Viktorich
сообщение 22.05.2010, 22:07
Сообщение #29





Группа: Старые пользователи
Сообщений: 37
Регистрация: 21.10.2008
Пользователь №: 8,274


Репутация: 168


Цитата(Денис @ 21.05.2010, 18:05) *


- В так названном "нормальном режиме" не нужен бред в виде 701
- 701 позволяет пройти дальше и прочитать то, что внутри лежит с правами 644 (всем)
- Если внутри лежит с правами 640 user:apache, то 701 позволяет прочитать и это (группе apache)
- Если внутри ничего не лежит с правами 644 user:user или 640 user:apache и все при этом работает, значит имеем "нормальный режим" и см. первый пункт
- Поправки на open_basedir не делаются, так как кроме php существуют и другие способы
Это была матчасть.

Остальное:
- Модуль - это не есть ненормальный режим
- У меня модуль, все работает от пользователя и прав достаточно 600/700 user:user
- У кого-то php-cgi, тоже все работает от пользователя и тоже такие же права
- У ТС права 755/644. Я ему на это проблему указал еще до того, как он опубликовал права
- Ему адмынчеки предлагали отключить cgi, чтобы не попасть к чужому юзеру с помощью cgi при условии наличия ограничений open_basedir. SSH вероятно, он вообще не использует. О дырявых скриптах, при возломе которых можно получить права вебсервера, - не думает.

К чему разглагольствования? Проблему ТСа нужно решать радикально - использованием php as cgi (или оригинальными решениями для mod_php) и простановкой прав user:user 750:640 (700:600).


в том варианте что я предложил, с 701 никто кроме юзера и апача не пройдёт это каталог, а следовательно и дальше, и не сможет прочитать хоть 777 файлы...
open_basedir считайте костыль с лишними вызовами, а следовательно ненужной нагрузкой, оно вам надо?
используя php as cgi, скрипты с правами "user:user 750:640 (700:600)" апач просто не сможет прочесть... если только apache не входит в групу user...
User is offlineProfile CardPM
Go to the top of the page
+Quote Post

Reply to this topicStart new topic
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0

 



- Текстовая версия Сейчас: 09.12.2019, 07:27
Яндекс.Метрика