@linux-bulgaria.org
Sent: Thursday, July 12, 2007 9:04 AM
Subject: Re: [Lug-bg] пробив през апаче и пхп :(
1) Файла flood е tar.gz архив с няколко флудера, пингъра и други такива.
2) н.йпг е тар.гз архив със рооткит и бнц
3) веднага ама веднага сваляй машината offline и почвай да разглеждаш
1) Файла flood е tar.gz архив с няколко флудера, пингъра и други такива.
2) н.йпг е тар.гз архив със рооткит и бнц
3) веднага ама веднага сваляй машината offline и почвай да разглеждаш.
Съветвам те да прегледаш какви приложения вървят на тоя апач. Много
съмнително е да е през него пробива. Цялото
On Thu, Jul 12, 2007 at 09:23:00AM +0300, deb4o wrote:
On Thursday, July 12, 2007 9:04 AM, Vladimir Vitkov wrote:
1) Файла flood е tar.gz архив с няколко флудера, пингъра и други такива.
2) н.йпг е тар.гз архив със рооткит и бнц
3) веднага ама веднага сваляй машината offline и почвай да
On Wed, July 11, 2007 11:16 pm, deb4o wrote:
няколко пъти пробиват през уеб сървъра и копират разни неща за пускане на
irc bot
все в /tmp, но там сетнах noexec,nosuid на този дял и не могат да ги
страртират.
но искам да разбера къде е дупката в апачето.
Apache 2.0.53 и php 4.3.9
Така и не
deb4o wrote:
няколко пъти пробиват през уеб сървъра и копират разни неща за пускане на
irc bot
все в /tmp, но там сетнах noexec,nosuid на този дял и не могат да ги
страртират.
snip
/var/tmp също е със world writable права. Единствената разлика с /tmp е,
че обикновено съдържанието на
Имах подобен проблем с един от сайтовете при мен. Можеш в php.ini да
добавиш примерно:
/disable_functions = exec,passthru,system,proc_open,shell_exec/
С това ще забраниш изпълнението по-често използваните функции за
изпълнение на команди.
Преди това обаче е добре да разбереш как успяват
Iassen Anadoliev wrote:
snip
Малко оффтопик, но nosuid,noexec е лека заблуда на противника:
test:~# dd if=/dev/zero of=fs bs=1k count=100
100+0 records in
100+0 records out
102400 bytes (102 kB) copied, 0.000681537 seconds, 150 MB/s
test:~# losetup -f fs
test:~# mkfs.ext3 /dev/loop0
mke2fs
Здравей,
за съжаление не мога да дам съвет къде точно е проблема. Тъй като имах преди
време подобен проблем, освен нещата които вече се написаха като защита, мога
да ти препоръчам да сложиш mod_security. Може би малко време ще ти отнеме
докато го настроши, но мисля, че си заслужава. Може да го
В прикаченото файлче съм описал основните атаки върху web applications.
Най-често в момента се случва да се използват атаките върху getimagesize
function-а на PHP.
За съжаление, няма директно решение на проблема с getimagesize :(
Поздрави
Мариан
On Thursday 12 July 2007 11:08:38 Valery
On Thursday 12 July 2007 11:27:16 Georgi Alexandrov wrote:
deb4o wrote:
няколко пъти пробиват през уеб сървъра и копират разни неща за пускане на
irc bot
все в /tmp, но там сетнах noexec,nosuid на този дял и не могат да ги
страртират.
snip
/var/tmp също е със world writable права.
подразбиране в /tmp
/var/tmp съм я направил като symbolic link към дяла /tmp и там не могат да се
стартират бинарни файлове.
- Original Message -
From: Valery Dachev
To: Linux Users Group - Bulgaria
Sent: Thursday, July 12, 2007 11:08 AM
Subject: Re: [Lug-bg] пробив през апаче и пхп
deb4o wrote:
е то първите две неща са ми ясни,
ясно ми е че през апач влизат
проблема е че обърнах всички логове и никъде не намирам къде е дупката през
която влизат...
snip
По-скоро разгледай какви php приложения се обслужват от уеб сървъра.
--
regards,
Georgi Alexandrov
key server -
.
- Original Message -
From: Valery Dachev
To: Linux Users Group - Bulgaria
Sent: Thursday, July 12, 2007 11:08 AM
Subject: Re: [Lug-bg] пробив през апаче и пхп :(
Имах подобен проблем с един от сайтовете при мен. Можеш в php.ini да
добавиш примерно:
disable_functions = exec
1. сменяш allow_url_fopen = Off в php.ini.
2. рестартираш apache-то.
3. теглиш http://downloads.sourceforge.net/rkhunter/rkhunter-1.2.9.tar.gz
4. инсталираш, пускаш да провери, ако има нещо - отсраняваш.
5. спиш спокойно :-)
___
Lug-bg mailing list
Around 07/12/07 15:29, Marian Marinov scribbled:
Има доста информация в интернет как можеш да стартираш бинарен файл върху дял
който е монтиран noexec. Основната идея е да се
използва /lib/ld-linux.so.2 /path/to/binary/file
Това отдавна не работи, от 2.5 нещо си нататък. При файла зареден от
respond to
Linux Users Group - Bulgaria lug-bg@linux-bulgaria.org
To
Linux Users Group - Bulgaria lug-bg@linux-bulgaria.org
cc
Subject
Re: [Lug-bg] пробив през апаче и пхп :(
Around 07/12/07 15:29, Marian Marinov scribbled:
Има доста информация в интернет как можеш да стартираш бинарен
] пробив през апаче и пхп :(
Around 07/12/07 15:29, Marian Marinov scribbled:
Има доста информация в интернет как можеш да стартираш бинарен файл
върху дял
който е монтиран noexec. Основната идея е да се
използва /lib/ld-linux.so.2 /path/to/binary/file
Това отдавна не работи, от 2.5 нещо си
няколко пъти пробиват през уеб сървъра и копират разни неща за пускане на
irc bot
все в /tmp, но там сетнах noexec,nosuid на този дял и не могат да ги
страртират.
но искам да разбера къде е дупката в апачето.
Apache 2.0.53 и php 4.3.9
Така и не мога да разбера от къде влизат. търсих по логовете
18 matches
Mail list logo