Proces exe beziaci pod apachom
Jan.Houstek na mff.cuni.cz
Jan.Houstek na mff.cuni.cz
Středa Prosinec 28 21:47:38 CET 2005
On Wed, 28 Dec 2005, Zdenek Mazanec wrote:
>> Je to nejake svinstvo (rozumej cerv), kteremu se zrovna ted nejak
>> dari. U jednoho zakaznika jsem to videl -- dostal se tam pres
>> nejaka derava php a vytvoril si cronovou ulohu, ktera vyrobi
>> prislusnou binarku kdesi v /tmp, spusti ji a smaze (a diky tomu, ze
>> to je v cronu, to po zabiti po chvili skodi znovu).
>>
>> Samotny program se choval dost agresivne, nemel jsem prilezitost
>> prozkoumat, co presne je obsahem komunikace, ale u toho zakaznika
>> se mu podarilo zatizit Cisco 3600 zpusobem, ze bylo totalne tuhe.
>>
> To mate z toho, ze nemate php apache zavrenyho v chrootu a dokonce mu
> povolujete vytvaret cron ulohy.
To z toho ma ten zakaznik :) Ja jsem u nej byl jen resit pruser, nikdy
predtim jsem ten stroj nevidel. Jinak by to ale moc platne nebylo, i v tom
chrootu se typicky nejaky ten adresar, kam apache muze zapisovat, najde, a
to vetsinou bohate staci.
Nemoznost pouziti cronu je jen slabou utechou, kdyz se tam nekdo muze
dostat jednou, dostane se tam i znovu a cronem si to pojistovat
nepotrebuje.
Pomerne ucinne je zakazani potencialne nebezpecnych funkci, zejmena
spousteni externich programu, ale zakladem je mit ty aplikace napsane
bezpecne -- pokud tomu tak neni, restriktivni konfiguraci serveru se to
dohani blbe.
> Fasnuje me, co vsechno admistratori jsou ochotni pod tlakem zakaznika
> povolit na sdilenych strojich.
Oni vetsinou bohuzel nepotrebuji ani ten tlak ...
-- Honza Houstek
Další informace o konferenci Linux