Вообщем тут такое дело.. У меня свой сервер.. ВДС.
взял довольно давно его.. Чисто для себя под сайт..
И так же на моем сервере расположены сайты.. Штук 10.
Взял так сказать себе людей
и вот стучит в асю мне стучит знакомый человек и говорит у тебя свой сервер?
Я ему да.. Он мои так и так..у тебя этот сайт? Точнее на твоем сервере.. Я ему да..он его сломан.. И видимо залил шелл
дальше шлет мне это..
логин:x:501:501::/home/логин/
bin/bash
логин:x:502:502::/home/логин:
/bin/bash
логин:x:505:505::/home/sobol:/
bin/false
логин:x:509:509::/home/
логин:/bin/false
логин:x:511:511::/home/
логин:/bin/bash
логин:x:512:512::/home/
логин:/bin/bash
логин:x:513:513::/home/kit635:/
bin/bash
логин:x:514:514::/home/
логин/bin/bash
логин:x:515:515::/home/логин:
/bin/bash
логин:x:517:517::/home/логин:/
bin/bash
логин:x:518:518::/home/
логин:/bin/bash
логин:x:519:519::/home/tmsko:/
bin/bash
логин:x:520:520::/home/
логин:/bin/bash
Потом он выложил мне мою корневую..че в ней лежит..
Вообщем я так понимаю он залил шелл пользователю и просто с его помощью дошел до моей директории..
Как излечить? Подскажите
Полная версия: Уязвимость сервера..
Онлайн-форум hostobzor.ru > Архив (темы до 1.06.2015). Только для чтения. > Коммерческий хостинг. Общие форумы > Виртуальный сервер и Виртуальный Выделенный Сервер
Вообщем что если отключить cgi?
Вообщем вырубил CGI. но все же . Нужно как то обезопасить..
php не забудьте.
И ssh к Ip привяжите, хотя не факт, что дыра не в ftp например
И ssh к Ip привяжите, хотя не факт, что дыра не в ftp например
Иван.. Это нет..
вообщем один известный человек сломал форум phpBB_wap) у моего пользователя.. Я думаю он залил шелл и уже с его директории дошел до моего Аккаунта.
Фтп Я не пользуясь.
Я разговаривал с ним.
он сказал отключай CGI.
Когда еще был g5e.Ru хостинг мы тоже отключали CGI.
вообщем один известный человек сломал форум phpBB_wap) у моего пользователя.. Я думаю он залил шелл и уже с его директории дошел до моего Аккаунта.
Фтп Я не пользуясь.
Я разговаривал с ним.
он сказал отключай CGI.
Когда еще был g5e.Ru хостинг мы тоже отключали CGI.
Цитата(Миша @ 19.05.2010, 05:01) 
дальше шлет мне это..
Это можно посмотреть почти на каждом сервере и в этом нет ничего критичного.
Цитата(Миша @ 19.05.2010, 05:01)
Потом он выложил мне мою корневую..че в ней лежит..
Какую корневую?
"/" со всякими бинарниками (/bin) и прочее? Опять же, ничего критичного. Не хотите показывать (также как и первое) - чрутьте.
/root ? Поставьте права 750
/home/username/?
Тогда разбирайтесь с правами и связкой php+apache, так как простановка прав будет зависеть непосредственно от нее.
PS
Наймите администратора ;)
Содержимое корневой папки и /etc/passwd не есть мега секьюрной информацией как провело на ЛЮБОМ хостинге его можно получить и посмотреть. Чтобы такого не было каждый клиент должен быть в jail chroot. А это есть задача не тривиальная.
Он выложил все что лежит в моей папки public_html
Права норм..
755 644
Права норм..
755 644
Цитата(Миша @ 19.05.2010, 09:55)
он сказал отключай CGI.
Еще можно отключить schuko
Надежнее будет.CGI придумали, чтобы его отключать?..
Это не способ нерешения проблемы. Это заплата на ветхую ткань.
На грамотно настроенном сервере cgi не мешает.
У Вас проблемы с правами на хомяки пользователей. Это и нужно решать.
755 644 - это ненормально!
Ну вот смотрите..
/domains 711/site.ru 711/public_html 755/ дальше идут файлы на них права 644 и папки с правами 755.
Ну вот смотрите..
/domains 711/site.ru 711/public_html 755/ дальше идут файлы на них права 644 и папки с правами 755.
/domains 711/site.ru 711/public_html 755/ дальше идут файлы на них права 644 и папки с правами 755.
Ну вот смотрите..
/domains 711/site.ru 711/public_html 755/ дальше идут файлы на них права 644 и папки с правами 755.
Цитата(Миша @ 19.05.2010, 10:39)
Ну вот смотрите..
/domains 711/site.ru 711/public_html 755/ дальше идут файлы на них права 644 и папки с правами 755.
Ну вот смотрите..
Да я такого насмотрелся уже много раз.
Я изначально знал, что у Вас такие права. Администратор за денежку настроит сервер. Могу подсказать адресок 
BaseDir можно для начала еще попробовать отключить...
Ну и один раз настроить сервер и спать спокойно (ну хотя бы относительно спокойно)
Ну и один раз настроить сервер и спать спокойно (ну хотя бы относительно спокойно)
Меня вот этот опен бесдир у хостеров всегда умилял. Хакеры как правило несколько умней хостеров и умеют пользоваться не только ПХП.
Я уже мочу что залить свое ПХП или запустить встроенное со своим конфигом как 2 пальца …
Я уже мочу что залить свое ПХП или запустить встроенное со своим конфигом как 2 пальца …
Maxim Volgin,
я предложил один из вариантов.. с чего начитают юные хакеры после прочтения тематических форумов =) я и не говори, что это истина... Уж если копать, то копать =)
я предложил один из вариантов.. с чего начитают юные хакеры после прочтения тематических форумов =) я и не говори, что это истина... Уж если копать, то копать =)
OBD, IMHO, создан не от "злобных хакиров", а от людей, которые ставят лишний пробел в system('rm -rf / home/user/blah'). Ну и от любителей пошариться по чужим каталогам.
Просмотр корневой это не так страшно. Чтобы он не ушел за рамки вашего пользователя советую подключить open_basedir. Так же он может найти конфиг движка вашего и найти там пароль от базы и зайти к вам в базу и слить данные (если есть важные). напишите в icq 36шестьпять57, расскажу вам по этому поводу немного и посоветую что вам поставить.
Цитата(different @ 19.05.2010, 19:49)
а от людей, которые ставят лишний пробел в system('rm -rf / home/user/blah'). Ну и от любителей пошариться по чужим каталогам.
Оно на вызов системных команд не распространяться. А любители пошариться обдут это "защиту" за 30 секунд.
chmod 700 /usr/bin/wget
mod_security
mod_security
Оставляете cgi
делаем группу
hosting
включаем в неё всех пользователей хостинга и к кому пользователи хостинга не должны заходить
делаете
chgrp hosting /home/USER
chmod 701 /home/USER
курите =)
делаем группу
hosting
включаем в неё всех пользователей хостинга и к кому пользователи хостинга не должны заходить
делаете
chgrp hosting /home/USER
chmod 701 /home/USER
курите =)
Цитата(Viktorich @ 20.05.2010, 21:53)
Оставляете cgi
делаем группу
hosting
включаем в неё всех пользователей хостинга и к кому пользователи хостинга не должны заходить
делаете
chgrp hosting /home/USER
chmod 701 /home/USER
курите =)
А самое интересное: апач то от кого запускать?
Цитата(lazutov @ 20.05.2010, 23:53)
А самое интересное: апач то от кого запускать?
от пользователя apache, 701 даёт права апачу ходить по каталогам юзеров.
Цитата(Viktorich @ 21.05.2010, 07:51)
от пользователя apache, 701 даёт права апачу ходить по каталогам юзеров.
Угу. И с таким же успехом читать все, что внутри лежит с правами 644.
Эх, адмынчики...
По этому правильные права на файлы скриптов 600
Цитата(Maxim Volgin @ 21.05.2010, 10:29)
По этому правильные права на файлы скриптов 600 :)
Ага. Только в его случае apache их прочитать не сможет ;)
В модуле не будет. А нормальном режиме очень даже. Модуль это для самоубийц.
К чему эти разговоры о том, что будет в некоем нормальном или ненормальном режиме?
- В так названном "нормальном режиме" не нужен бред в виде 701
- 701 позволяет пройти дальше и прочитать то, что внутри лежит с правами 644 (всем)
- Если внутри лежит с правами 640 user:apache, то 701 позволяет прочитать и это (группе apache)
- Если внутри ничего не лежит с правами 644 user:user или 640 user:apache и все при этом работает, значит имеем "нормальный режим" и см. первый пункт
- Поправки на open_basedir не делаются, так как кроме php существуют и другие способы
Это была матчасть.
Остальное:
- Модуль - это не есть ненормальный режим
- У меня модуль, все работает от пользователя и прав достаточно 600/700 user:user
- У кого-то php-cgi, тоже все работает от пользователя и тоже такие же права
- У ТС права 755/644. Я ему на это проблему указал еще до того, как он опубликовал права
- Ему адмынчеки предлагали отключить cgi, чтобы не попасть к чужому юзеру с помощью cgi при условии наличия ограничений open_basedir. SSH вероятно, он вообще не использует. О дырявых скриптах, при возломе которых можно получить права вебсервера, - не думает.
К чему разглагольствования? Проблему ТСа нужно решать радикально - использованием php as cgi (или оригинальными решениями для mod_php) и простановкой прав user:user 750:640 (700:600).
- В так названном "нормальном режиме" не нужен бред в виде 701
- 701 позволяет пройти дальше и прочитать то, что внутри лежит с правами 644 (всем)
- Если внутри лежит с правами 640 user:apache, то 701 позволяет прочитать и это (группе apache)
- Если внутри ничего не лежит с правами 644 user:user или 640 user:apache и все при этом работает, значит имеем "нормальный режим" и см. первый пункт
- Поправки на open_basedir не делаются, так как кроме php существуют и другие способы
Это была матчасть.
Остальное:
- Модуль - это не есть ненормальный режим
- У меня модуль, все работает от пользователя и прав достаточно 600/700 user:user
- У кого-то php-cgi, тоже все работает от пользователя и тоже такие же права
- У ТС права 755/644. Я ему на это проблему указал еще до того, как он опубликовал права
- Ему адмынчеки предлагали отключить cgi, чтобы не попасть к чужому юзеру с помощью cgi при условии наличия ограничений open_basedir. SSH вероятно, он вообще не использует. О дырявых скриптах, при возломе которых можно получить права вебсервера, - не думает.
К чему разглагольствования? Проблему ТСа нужно решать радикально - использованием php as cgi (или оригинальными решениями для mod_php) и простановкой прав user:user 750:640 (700:600).
Цитата(Денис @ 21.05.2010, 14:23)
Ага. Только в его случае apache их прочитать не сможет
Сможет
Модули - они разные бывают
Ребята. спасибо..впитал инфо..вроде.
спасибо..впитал инфо..вроде.
Цитата(Денис @ 21.05.2010, 18:05)
- В так названном "нормальном режиме" не нужен бред в виде 701
- 701 позволяет пройти дальше и прочитать то, что внутри лежит с правами 644 (всем)
- Если внутри лежит с правами 640 user:apache, то 701 позволяет прочитать и это (группе apache)
- Если внутри ничего не лежит с правами 644 user:user или 640 user:apache и все при этом работает, значит имеем "нормальный режим" и см. первый пункт
- Поправки на open_basedir не делаются, так как кроме php существуют и другие способы
Это была матчасть.
Остальное:
- Модуль - это не есть ненормальный режим
- У меня модуль, все работает от пользователя и прав достаточно 600/700 user:user
- У кого-то php-cgi, тоже все работает от пользователя и тоже такие же права
- У ТС права 755/644. Я ему на это проблему указал еще до того, как он опубликовал права
- Ему адмынчеки предлагали отключить cgi, чтобы не попасть к чужому юзеру с помощью cgi при условии наличия ограничений open_basedir. SSH вероятно, он вообще не использует. О дырявых скриптах, при возломе которых можно получить права вебсервера, - не думает.
К чему разглагольствования? Проблему ТСа нужно решать радикально - использованием php as cgi (или оригинальными решениями для mod_php) и простановкой прав user:user 750:640 (700:600).
в том варианте что я предложил, с 701 никто кроме юзера и апача не пройдёт это каталог, а следовательно и дальше, и не сможет прочитать хоть 777 файлы...
open_basedir считайте костыль с лишними вызовами, а следовательно ненужной нагрузкой, оно вам надо?
используя php as cgi, скрипты с правами "user:user 750:640 (700:600)" апач просто не сможет прочесть... если только apache не входит в групу user...
Это текстовая версия — только основной контент. Для просмотра полной версии этой страницы, пожалуйста, нажмите сюда.