методы взлома php-powered серверов ?

0

0

До недавних пор я даже не подозревал что ответственность за
определенный сервер под администрированием нашей компании
лежит на мне. Что привело к нехорошим последствиям. Как
люди его "взломали" я кое-как представляю - ничего из того
что там используется не обновлялось с
выхода RawHide7.1. Почему кое-как ? Потому-что к серверу
физического доступа у меня нет, пришлось просить ихнего
временного админа, восстановить, поднять базовую систему.
Что он и сделал, поставив slackware 9.1.

Через некоторое время клиент сообщил что дыр мы не закрыли
и взломщик смежет проделать тоже самое в любой момент. Об
этом ему любезно рассказал сам злоумышленник..

Как я говорил мне неизвестно каким образом сервер был взломан,
только случайно выявленные последствия какого-то руткита.

Возможно это блеф но всеже ..

Единственно что приходит в голову так это apache+php+локальный
эксплоит. Остальное - ssh, ftp мне кажется мало вероятным..

Какова вероятность того что какой-то из багов всеже досихпор
присутствует ? И что, вобщем, можно предпринять в такой ситуции ?

Ссылка

←

Порт 1058

описания дыр

→

возьми сканер nessus и проскань на дыры

anonymous
(03.02.04 21:57:37 MSK)

Ответ на: комментарий от anonymous 03.02.04 21:57:37 MSK

Объясните, пожалуйста, что делает нессус? Сканит порты, или что-то другое? Если просто сканит - чем тогда nmap плох? То, что гуя нет?

Другой анонимус.

anonymous
(04.02.04 07:58:43 MSK)

Ссылка

Ну, возможно, в каком-то конкретном php-скрипте ошибка. Неправильно обрабатываются передаваемые параметры, например. Ввиду дизайна языка php провоцирует к таким ошибкам. Я бы начал искать именно в ту сторону.

ivlad ★★★★★
(04.02.04 15:06:42 MSK)

Ответ на: комментарий от ivlad 04.02.04 15:06:42 MSK

Дело в том что там хостятся нетолько наши проэкты. Поэтому
интересна сама возможность повышения привилегий, так как
apache работает от своего nobody.

Как я понял, надо писать правильные скрипты, если
хочешь получить хоть мнимую безопасность. Независимо
от какого пользователя они выполняются..

anonymous
(04.02.04 16:54:24 MSK)

Ответ на: комментарий от anonymous 04.02.04 16:54:24 MSK

Я сам не сильно разбираюсь в пхп, но обслуживаю сервер с многими
сайтами (за несколько сотен уж перевалило).
Вопрос к знатокам пхп - как отслеживать злонамеренные скрипты?
Я думаю, за эту информацию были бы многие благодарны!

Спасибо!

Другой анонимус.

anonymous
(04.02.04 17:12:49 MSK)

Ответ на: комментарий от anonymous 04.02.04 16:54:24 MSK

версия ядра?

anonymous
(04.02.04 21:48:23 MSK)

Ответ на: комментарий от anonymous 04.02.04 21:48:23 MSK

> версия ядра?

Было с RH7.1 кажется - 2.4.4, точно непомню... А щас -
2.4.22. Если вы об этом:

http://isec.pl/vulnerabilities/isec-0013-mremap.txt

?

То на той железке ему потребуется где-то пол дня, а о такой
нагрузке я узнаю раньше. Или есть еще что нибудь ?

anonymous
(04.02.04 23:45:19 MSK)

Ссылка

Ответ на: комментарий от ivlad 04.02.04 15:06:42 MSK

Я надумал поставить grsecurity и убрать запуск программ у
которых владелец не root, и еще apache пускать изпод chroot.

Как думаете, поможет ?

Поидее всякие проблемы, с uploaded изпод PHP эксплоитов, должны исчезнуть.

anonymous
(05.02.04 13:17:20 MSK)

Ответ на: комментарий от anonymous 05.02.04 13:17:20 MSK

Нда.. Нелегкая задача конечно с этим Grsecurity разобратся...
Второй день вожусь а нормальной работы таки недобился.

Может кто знает как запретить что-либо запускоть но в
тоже время оставить CGI работоспособным ?

anonymous
(06.02.04 17:02:21 MSK)

Ответ на: комментарий от anonymous 06.02.04 17:02:21 MSK

Получил я наконец-то почти все что хотел, спасибо всем кто
помог. Остался токо вот один вопрос по поводу grsecurity:

возможно сделать наследование, или групирование, между процессами ?

Например, если у меня postfix, не прописывать для каждого
(master/qmgr/postfix) { /dev/log rw }, а прописать только postfix
и чтоб все остальные процессы от него порожденные - наследовали
это свойство.

anonymous
(07.02.04 12:50:55 MSK)

Ссылка

Ответ на: комментарий от anonymous 04.02.04 17:12:49 MSK

>Я сам не сильно разбираюсь в пхп, но обслуживаю сервер с многими сайтами (за несколько сотен уж перевалило). Вопрос к знатокам пхп - как отслеживать злонамеренные скрипты?

Подпишись на всевозможные security mailing lists. Клиенты часто устанавливают бесплатные скрипты гостевых книг, форумов итд. Ломают обычно через дыры в этих скриптах. Кроме того, имеет смысл использовать встроенные средства php, запретить небезопасные функции. Ну и конечно же не давать возможности злоумышленнику повысить привилегии, в случае если он все же сумел получить shell.

chucha ★★★☆
(22.02.04 10:36:49 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←

Порт 1058

Security

описания дыр

→

Похожие темы