LINUX.ORG.RU
ФорумAdmin

[apache2][imap_fetchbody] Мощный DoS через функцию PHP. Как защитится?

 


0

1

Не знаю, что делать. Гугл выдаёт старое описание моей проблемы, которая уже пофикшена. Сама проблема в функции imap_fetchbody(), которая выглядит так:

string imap_fetchbody ( resource $imap_stream , int $msg_number ,
string $section [, int $options = 0 ] )
Если что-то (не знаю, что) сделать с $section, то apache2 падает. Бывает, что за ним валится mySQL, а бывает что вообще и SSH.

После атаки на сервере такие сообщения: (фото здесь)

ОС: Ubuntu Server 11.10 (полностью обновлена). Готов предоставить любую информацию для решения проблемы. Помогите, пожалуйста.

Ответ на: комментарий от gserg

Я больше, чем уверен, что проблема именно в imap_fetchbody() потому что атакует знакомый мне человек. Рекурсии быть не может, так как PHP девственно чистен.

TheEternalSmile
() автор топика
Ответ на: комментарий от gserg

Ещё добавлю, что сервер падает за секунду. Защита от DDoS стоит.

TheEternalSmile
() автор топика
Ответ на: комментарий от TheEternalSmile

Вопрос уже снят. Он находится в /etc/php5/apache2

Прошерстил всё - поиском на «imap_fetchbody» не реагирует. Что нужно искать, чтобы дисейблнуть?

TheEternalSmile
() автор топика
Ответ на: комментарий от TheEternalSmile

Еще можешь модуль php_imap отключить. Будет даже веселее.

zgen ★★★★★
()
Ответ на: комментарий от zgen

Прочитал документацию, спасибо за ссылку. Выставил запрет на функцию imap_fetchbody так:

disable_functions = *функции*,imap_fetchbody

Пока атак не наблюдается.

=====

Из подробностей атакующего:

- Самописный скрипт, подсоединяющийся через шелл и вызывающий функцию imap_fetchbody со значением в 50000 байт. Представляет собой веб-страничку, на которой настраивается URL и количество потоков. Достаточно одного потока, чтобы убить маленьких хостеров. Валится весь apache2 вместе с сайтами, выгружаясь из памяти. Моментальное действие.

TheEternalSmile
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.