Proces exe beziaci pod apachom

Vladimir Rengevic vlado na grafon.sk
Středa Prosinec 28 23:39:07 CET 2005


Dobry den,

chvilu mi to trvalo, ale nakoniec som tiez dosiel na to iste - vytvorilo 
si to plan v crone pre usera apache
(/var/spool/cron/apache) a v nom vzdy v 20. minute spustal svoj kod.
Co sa tyka diery predpokladam, ze vyuzil moznost zapisu do adresara /tmp 
a nasledne spustenie
skriptu odtial. Momentalne som mu tam vytvoril subor "hdrnskrba" s 
moznostou len citania pre roota
(podla kodu sa donho nakopiroval a spustal) takze by sa nemal mat 
moznost vytvarat. Ak nema
v kode schopnost menit si toto meno...
Co sa tyka prejavov - vygeneroval viac procesov s nazvom "exe" a tieto 
zatazili procesor na 99.9%
takze pocitac bol skoro ako tuhy. A wifi karta do internetu sa zacala 
tvarit ako ztamrznuta - nekomunikovala.
Pri prehrabavani logov som nadabil na IP adresu 209.200.172.4 - z nej 
som bol "ostrelovany" velmi divnymi
dotazmi na apacha. Blokol som ju na firewole...
Da sa este nejak poistit?
Samozrejme okrem obmedzenia prav php - viem, idealne je zapnut safe mode 
a vsetko co najviac
obmedzit a porusit nebezpecne napisane stranky ale toto je boj s 
veternymi mlynmi.
Zakaznikov si sice vybrat mozem, ale kto im programuje weby a ako - s 
tym moc nenarobim. Aj ked viem,
ze toto je kamen urazu  :-( 

Vlado



Jan.Houstek na mff.cuni.cz napsal(a):

>On Wed, 28 Dec 2005, Zdenek Mazanec wrote:
>  
>
>>>Je to nejake svinstvo (rozumej cerv), kteremu se zrovna ted nejak
>>>dari. U jednoho zakaznika jsem to videl -- dostal se tam pres
>>>nejaka derava php a vytvoril si cronovou ulohu, ktera vyrobi
>>>prislusnou binarku kdesi v /tmp, spusti ji a smaze (a diky tomu, ze
>>>to je v cronu, to po zabiti po chvili skodi znovu).
>>>
>>>Samotny program se choval dost agresivne, nemel jsem prilezitost
>>>prozkoumat, co presne je obsahem komunikace, ale u toho zakaznika
>>>se mu podarilo zatizit Cisco 3600 zpusobem, ze bylo totalne tuhe.
>>>
>>>      
>>>
>>To mate z toho, ze nemate php apache zavrenyho v chrootu a dokonce mu
>>povolujete vytvaret cron ulohy.
>>    
>>
>
>To z toho ma ten zakaznik :) Ja jsem u nej byl jen resit pruser, nikdy 
>predtim jsem ten stroj nevidel. Jinak by to ale moc platne nebylo, i v tom 
>chrootu se typicky nejaky ten adresar, kam apache muze zapisovat, najde, a 
>to vetsinou bohate staci.
>
>Nemoznost pouziti cronu je jen slabou utechou, kdyz se tam nekdo muze 
>dostat jednou, dostane se tam i znovu a cronem si to pojistovat 
>nepotrebuje.
>
>Pomerne ucinne je zakazani potencialne nebezpecnych funkci, zejmena 
>spousteni externich programu, ale zakladem je mit ty aplikace napsane 
>bezpecne -- pokud tomu tak neni, restriktivni konfiguraci serveru se to 
>dohani blbe.
>
>  
>


-- 

Ing. Vladimir Rengevic
GRAFON dtp studio
Tranovskeho 19, Liptovsky Mikulas, Slovakia
phone: +421/44/5526153, fax: +421/44/5621454
mobil: +421/905/642799 



Další informace o konferenci Linux