LINUX.ORG.RU

методы взлома php-powered серверов ?


0

0

До недавних пор я даже не подозревал что ответственность за
определенный сервер под администрированием нашей компании
лежит на мне. Что привело к нехорошим последствиям. Как
люди его "взломали" я кое-как представляю - ничего из того
что там используется не обновлялось с
выхода RawHide7.1. Почему кое-как ? Потому-что к серверу
физического доступа у меня нет, пришлось просить ихнего
временного админа, восстановить, поднять базовую систему.
Что он и сделал, поставив slackware 9.1.

Через некоторое время клиент сообщил что дыр мы не закрыли
и взломщик смежет проделать тоже самое в любой момент. Об
этом ему любезно рассказал сам злоумышленник..

Как я говорил мне неизвестно каким образом сервер был взломан,
только случайно выявленные последствия какого-то руткита.

Возможно это блеф но всеже ..

Единственно что приходит в голову так это apache+php+локальный
эксплоит. Остальное - ssh, ftp мне кажется мало вероятным..

Какова вероятность того что какой-то из багов всеже досихпор
присутствует ? И что, вобщем, можно предпринять в такой ситуции ?





anonymous

Re: методы взлома php-powered серверов ?

возьми сканер nessus и проскань на дыры

anonymous ()
Ответ на: Re: методы взлома php-powered серверов ? от anonymous

Re: Re: методы взлома php-powered серверов ?

Объясните, пожалуйста, что делает нессус? Сканит порты, или что-то другое? Если просто сканит - чем тогда nmap плох? То, что гуя нет?

Другой анонимус.

anonymous ()

Re: методы взлома php-powered серверов ?

Ну, возможно, в каком-то конкретном php-скрипте ошибка. Неправильно обрабатываются передаваемые параметры, например. Ввиду дизайна языка php провоцирует к таким ошибкам. Я бы начал искать именно в ту сторону.

ivlad ★★★★★ ()
Ответ на: Re: методы взлома php-powered серверов ? от ivlad

Re: Re: методы взлома php-powered серверов ?

Дело в том что там хостятся нетолько наши проэкты. Поэтому
интересна сама возможность повышения привилегий, так как
apache работает от своего nobody.

Как я понял, надо писать правильные скрипты, если
хочешь получить хоть мнимую безопасность. Независимо
от какого пользователя они выполняются..

anonymous ()
Ответ на: Re: Re: методы взлома php-powered серверов ? от anonymous

Re: Re: Re: методы взлома php-powered серверов ?

Я сам не сильно разбираюсь в пхп, но обслуживаю сервер с многими
сайтами (за несколько сотен уж перевалило).
Вопрос к знатокам пхп - как отслеживать злонамеренные скрипты?
Я думаю, за эту информацию были бы многие благодарны!

Спасибо!

Другой анонимус.

anonymous ()
Ответ на: Re: Re: Re: методы взлома php-powered серверов ? от anonymous

Re: Re: Re: Re: методы взлома php-powered серверов ?

> версия ядра?

Было с RH7.1 кажется - 2.4.4, точно непомню... А щас -
2.4.22. Если вы об этом:

http://isec.pl/vulnerabilities/isec-0013-mremap.txt

?

То на той железке ему потребуется где-то пол дня, а о такой
нагрузке я узнаю раньше. Или есть еще что нибудь ?


anonymous ()
Ответ на: Re: методы взлома php-powered серверов ? от ivlad

Re: Re: методы взлома php-powered серверов ?

Я надумал поставить grsecurity и убрать запуск программ у
которых владелец не root, и еще apache пускать изпод chroot.

Как думаете, поможет ?

Поидее всякие проблемы, с uploaded изпод PHP эксплоитов, должны исчезнуть.

anonymous ()
Ответ на: Re: Re: методы взлома php-powered серверов ? от anonymous

Re: Re: Re: методы взлома php-powered серверов ?

Нда.. Нелегкая задача конечно с этим Grsecurity разобратся...
Второй день вожусь а нормальной работы таки недобился.

Может кто знает как запретить что-либо запускоть но в
тоже время оставить CGI работоспособным ?

anonymous ()
Ответ на: Re: Re: Re: методы взлома php-powered серверов ? от anonymous

Re: Re: Re: Re: методы взлома php-powered серверов ?

Получил я наконец-то почти все что хотел, спасибо всем кто
помог. Остался токо вот один вопрос по поводу grsecurity:

возможно сделать наследование, или групирование, между процессами ?

Например, если у меня postfix, не прописывать для каждого
(master/qmgr/postfix) { /dev/log rw }, а прописать только postfix
и чтоб все остальные процессы от него порожденные - наследовали
это свойство.


anonymous ()
Ответ на: Re: Re: Re: методы взлома php-powered серверов ? от anonymous

Re: Re: Re: Re: методы взлома php-powered серверов ?

>Я сам не сильно разбираюсь в пхп, но обслуживаю сервер с многими сайтами (за несколько сотен уж перевалило). Вопрос к знатокам пхп - как отслеживать злонамеренные скрипты?

Подпишись на всевозможные security mailing lists. Клиенты часто устанавливают бесплатные скрипты гостевых книг, форумов итд. Ломают обычно через дыры в этих скриптах. Кроме того, имеет смысл использовать встроенные средства php, запретить небезопасные функции. Ну и конечно же не давать возможности злоумышленнику повысить привилегии, в случае если он все же сумел получить shell.

chucha ★★★☆ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.