Ноекзек и отсутствие компилера - не панацея. Ловил аналогичную заразу через дыру в цмс e107, только она была перловая, соответственно, такая защита оказалась бесполезной. Имхо, лечить лучше не последствия, а причину: запретить функции типа system(), юзание общесистемного tmpdir и дальше по тексту. За исключением особо крупного shared hosting такое требует лишь минимальных доработок при развертывании клиентских инсталляций и особых неудобств не вызывает.
On Tue, Jun 07, 2011 at 08:29:50AM +0300, Vasiliy P. Melnik wrote: > On Tue, Jun 07, 2011 at 09:07:27AM +0400, Ключников А.С. wrote: > > * Alex Samorukov <[email protected]> [2011-06-06 20:15:19 +0400]: > > > > > У меня такое было через дырку в цмс (джумла) > > > > > > Как оно получилось: > > > 1) через дыру смогли заинклюдить файл с ремотного хоста > > > 2) этот файл сохранял си исходник и запускал гцц. гцц там был > > > 3) искали места где врайтабл для всех и клали бинарник туда с именами > > > вроде неймд или апаче > > > 4) пытались (хаха) получить рута линуксовыми эксплоитами, обломались > > > 5) запустили процессы и начали ддосить и спамить. Были замечены айдисом > > > и найдены с помощью tripwire и логов веб сервера. > > > > > > Вот так они и беруться ) Соответственно посикс сырец будет > > > компилироваться везде где есть цц и posix layer. > > > > > > А если noexec на раздел с джумлой? Сама джумла работать будет? > > 1.5 ветка работает - только что проверил > > > > -- > ------------------------------------------------------------------------------- > Vasiliy P. Melnik VPM-UANIC
