Voy a poner el safe_dir de php en ON, capas es eso ;) El mié, 17-09-2003 a las 13:06, Alejandro Gomez Fernandez escribió: > Alberto: > > Tenes instalado php? Muchas veces corre con el usuario nobody y cuando > subis un archivo (sea una foto para una pagina o algo DESDE una pagina > en php) te crea un archivo temporal, generalmente en el /tmp. > Tal vez estes un poco paranoico (cosa que en el tema de seguridad no > esta mal). > > Dependiendo del grado de paranoia que tengas (y voy a asumir que es > como el mio) hace algo asi: > > Generate un programa (en lo que quieras: particularmente usaria perl) > que corra PERMANETEMENTE como si fuera un demonio, que chequee segundo a > segundo el estado del /tmp. En cuanto encuentre alguna "variacion" o un > archivo "sospechoso" (y aca tenes que usar el mismo metodo que usas > manualmente para sospechar de un archivo) larga 2 procesos del sistema > independientes: lsof y netstat. Obviamente envia la salida a archivos. > Si te interesa aca podes hacer algo mas: o los analizas por programa en > el momento o te envias un mensaje al celular mientras estas haciendo un > snapshot del sistema, con todos los comandos que se te ocurran: ps axf, > netstat, who, lsof, etc y todas las salidas las envias a un archivo. > Ademas podes chequear los permisos de estos archivos (los sospechosos) y > si en algun momento se hacen ejecutables podes tomar alguna accion como > cambiar los permisos, chequear automaticamente la salida de los "ps axf" > o algun otro de tu agrado, ver que procesos se disparan e incluso matar > alguno no deseado o no esperado, en forma automatica. Podrias por ej, > ver cual es la conexion que subio el archivo y matarl, ... aca se da > para que te vueles tanto como quieras (dependiendo de lo que tengas que > proteger). > Si, esto es un poco peligroso, pero depende del grado de paranoia... > > > > > Alejandro. > > > > El mié, 17 de 09 de 2003 a las 12:18, [EMAIL PROTECTED] escribió: > > Que es lo que está subiendo y como sabes que el sistma no está almacenando > > archivos temporales? > > > > -----Mensaje original----- > > De: Alberto Ferrer [mailto:[EMAIL PROTECTED] > > Enviado el: miércoles 17 de septiembre de 2003 9:34 > > Para: [EMAIL PROTECTED] > > Asunto: [LUG.ro] Seguridad & Seguimiento de usuarios. > > > > > > Hay alguna forma de monitorear en tiempo real lo que hace un usuario en el > > sistema?. > > > > Tiene que se de forma remota, tengo un usuario de sistema (nobody) alguien > > sube cosas a /tmp, mire las formas conosidas y las no de como puede subirlo, > > el server es de hosting y no lo encuentro (la forma de como sube el exploit) > > todabia no llega a ejecutar nada, pero esta cerca, tengo todo actualizado al > > dia, SSH, FTPD, MYSQL, SSL, APACHE, MYSQL, y otras mas, que puede ser? > > > > > > _______________________________________________ > > Lugro mailing list > > [EMAIL PROTECTED] > > http://www.lugro.org.ar/mailman/listinfo/lugro > > > > _______________________________________________ > > Lugro mailing list > > [EMAIL PROTECTED] > > http://www.lugro.org.ar/mailman/listinfo/lugro > > _______________________________________________ > Lugro mailing list > [EMAIL PROTECTED] > http://www.lugro.org.ar/mailman/listinfo/lugro > >
_______________________________________________ Lugro mailing list [EMAIL PROTECTED] http://www.lugro.org.ar/mailman/listinfo/lugro
