Medovárszky Zoltán wrote:
2009.05.14. 16:11 keltezéssel, Gabor HALASZ írta:
Melyik kernel van benne? Udev nem fut, ugye?
2.6.18-6-amd64
De igen, udevd fut.
A 141nel kisebb udev localrootexploitalhato, es van hozza publikus kod,
igy ha a www-data userrel kodot tud futtatni, barmit tehet.
--
Szevasztok!
Több napja küzdök egy problémával, de szakértelmem hiányában nem tudom
megoldani.
1-2 óránként megtörik az apache daemont, ami ezután időnként üres
oldlakat szolgál ki illetve egy trójai kódot tartalmazó oldalra irányít.
Eleinte néhány tcsh processt láttam www-data userrel, most
Medovárszky Zoltán wrote:
1-2 óránként megtörik az apache daemont, ami ezután időnként üres
oldlakat szolgál ki illetve egy trójai kódot tartalmazó oldalra irányít.
Szerintem nem az apache-ot bantjak.
Eleinte néhány tcsh processt láttam www-data userrel, most már httpd-ből
van néhány
hello,
1-2 óránként megtörik az apache daemont, ami ezután időnként üres
oldlakat szolgál ki illetve egy trójai kódot tartalmazó oldalra irányít.
biztos, hogy az apache-on (valszeg vmi PHP kodon keresztul)
jonnek be? FTP hozzaferes nincs, amit megszereztek?
Eleinte néhány tcsh processt
Medovárszky Zoltán l...@igor.hu wrote:
Apache, php a legfrissebb, open basedir van minden virtualhoston.
Nem az apache-ot, hanem valamelyik webet zuzzak.
mod_security, disable_functions (exec es tarsai)
Plusz noexec mount es ha lehet, ne legyen a www-datanak
irasjoga a webes cuccra.
--
Udv:
2009.05.14. 10:09 keltezéssel, Hegedüs Ervin írta:
biztos, hogy az apache-on (valszeg vmi PHP kodon keresztul)
jonnek be? FTP hozzaferes nincs, amit megszereztek?
Természetesen megszerezhettek ftp logint is, rengeteg user van.
az hogy friss, meg nem jelent semmit :)
Igen, tudom sajnos,
2009.05.14. 10:14 keltezéssel, Gabor HALASZ írta:
Valoszinuleg valamelyik virtualhostot piszkaljak, siman felulirjak ftp-n
keresztul a tartalmat a kedves userek feltort geperol szarmazo
jelszoval. Kapcsold le az ftp-t, a userek csak scp-vel frissitsenek, azt
lehet mod_chroot-tal megtamogatni,
hello,
Természetesen megszerezhettek ftp logint is, rengeteg user van.
ftp logot megnézted már, hátha találsz ott is valami releváns
infot...
Directory /var/www/domain.tld
IfModule mod_php5.c
php_admin_value open_basedir /var/www/domain.tld:/tmp
/IfModule
/Directory
ez akar jo is
Medovárszky Zoltán wrote:
2009.05.14. 10:14 keltezéssel, Gabor HALASZ írta:
Valoszinuleg valamelyik virtualhostot piszkaljak, siman felulirjak ftp-n
keresztul a tartalmat a kedves userek feltort geperol szarmazo
jelszoval. Kapcsold le az ftp-t, a userek csak scp-vel frissitsenek, azt
lehet
On Thu, 14 May 2009, [ISO-8859-2] Medovárszky Zoltán wrote:
jonnek be? FTP hozzaferes nincs, amit megszereztek?
Természetesen megszerezhettek ftp logint is, rengeteg user van.
Elvi kerdes: ha nem jelszo, hanem RSA kulcs auth van (es ftp helyett
winscp), akkor azt nehezebben szerzik meg?
Udv,
Lajber Zoltan írta:
On Thu, 14 May 2009, [ISO-8859-2] Medovárszky Zoltán wrote:
jonnek be? FTP hozzaferes nincs, amit megszereztek?
Természetesen megszerezhettek ftp logint is, rengeteg user van.
Elvi kerdes: ha nem jelszo, hanem RSA kulcs auth van (es ftp helyett
winscp), akkor azt
Lajber Zoltan wrote:
On Thu, 14 May 2009, [ISO-8859-2] Medovárszky Zoltán wrote:
jonnek be? FTP hozzaferes nincs, amit megszereztek?
Természetesen megszerezhettek ftp logint is, rengeteg user van.
Elvi kerdes: ha nem jelszo, hanem RSA kulcs auth van (es ftp helyett
winscp), akkor azt
2009.05.14. 10:25 keltezéssel, Erdelyi Gabor írta:
Nem az apache-ot, hanem valamelyik webet zuzzak.
mod_security, disable_functions (exec es tarsai)
Plusz noexec mount es ha lehet, ne legyen a www-datanak
irasjoga a webes cuccra.
mod_security igéretesnek tűnik. Rulesetjeivel mi a
Gabor HALASZ halas...@freemail.hu írta, 2009.05.14.:
Lajber Zoltan wrote:
[...]
Elvi kerdes: ha nem jelszo, hanem RSA kulcs auth van (es ftp helyett
winscp), akkor azt nehezebben szerzik meg?
Egyreszt az rsa kulcsot lehet passprhase-sal vedeni,
Amit egy keylogger megfoghat...
masreszt imho
Medovárszky Zoltán l...@igor.hu írta, 2009.05.14.:
Szevasztok!
Több napja küzdök egy problémával, de szakértelmem hiányában nem tudom
megoldani.
1-2 óránként megtörik az apache daemont, ami ezután időnként üres
oldlakat szolgál ki illetve egy trójai kódot tartalmazó oldalra irányít.
Attila Rajmund Nohl wrote:
Gabor HALASZ halas...@freemail.hu írta, 2009.05.14.:
Lajber Zoltan wrote:
[...]
Elvi kerdes: ha nem jelszo, hanem RSA kulcs auth van (es ftp helyett
winscp), akkor azt nehezebben szerzik meg?
Egyreszt az rsa kulcsot lehet passprhase-sal vedeni,
Amit egy
2009.05.14. 11:16 keltezéssel, Gabor HALASZ írta:
winscpvel csak elboldogul, ha ftpzni tud.
Amikor arra a kérdésre, hogy milyen e-mail klienst használ az a válasz:
Hát duplán kattintok, akkor nincs sok remény. Próbálom inkább a meglévő
rendszert biztonságossá tenni, minthogy a felhasználókra
2009.05.14. 13:22 keltezéssel, Gabor HALASZ írta:
Igen, de mire megy vele? A keylogger nem tudja, mire jo, a bot
vegigprobalja vele az accountokat, aztan vege.
Amikor nincs fizikai kontroll a kliensek felett, nagyon nehez korrekt
vedelmet kialakitani, altalaban kell valami fizikai kiegeszito,
Medovárszky Zoltán wrote:
Apache 2.2.11, csak a szükséges modulokkal.
Distrib debian etch
Melyik kernel van benne? Udev nem fut, ugye?
Security tips-ben javallotakat megcsináltam.
Attol tartok, hogy nullarol ujrainstall lesz a megoldas.
netstat -nlp kimenetet alaposan nezegesd at.
2009.05.14. 16:11 keltezéssel, Gabor HALASZ írta:
Melyik kernel van benne? Udev nem fut, ugye?
2.6.18-6-amd64
De igen, udevd fut.
Attol tartok, hogy nullarol ujrainstall lesz a megoldas.
netstat -nlp kimenetet alaposan nezegesd at. Mindenkeppen cserelj
kernelt, lehetoleg modultalanra.
20 matches
Mail list logo
