Zvlastni problem s deravym programem. (Pro silne povahy)

OndřejTůma konference na webjet.cz
Úterý Červenec 17 02:06:12 CEST 2007 

Husty :)

zkoro bych doporucoval to zacvakat z vlastniho, odjed na dovcu a rict
sefovi, ze to resite ve sklepe, aby ste na to mel alespon chladek :)

Jinak, rozhodne pokud je ssh, tak omezit pristup na minimum uzivatelu (v
idealnim pripade na minimum IP) to neni takovy problem, leckdy lze
vyresit i pomoci /etc/hosts.deny resp. /etc/hosts.allow.

Apache pokud to jenom malinko je mozne soupnout do chrootu mod_chroot,
ale zalezi jake mate moznosti/schpnosti ten server prenastavit, ale
predpokladam ze mate ;)

z venku povolit jen to nutne (predpokladam ze staci webovy server), tim
myslim port 80. Pokud je webmaster neschpny, hold musi stranky nahravat
zevnitr site, nebo z USB/CD atd .. jeho blbost.

pokud jsou hesla uhadnuta - rozhodne zmenit na neco slozitejsiho,
pripadne sebrat shell uzivatelum, kteri ho nepotrebuji (beznym ftp
serverum staci /bin/false). Doporucuji vystrachat / nainstalovat shell
staticky zkompilovanej (pokud to lze) a samozrejme pokud mozno
prekompilovat jadro tak, aby nepouzivalo moduly

takhle bych moh pokracovat hodne dlouho, v idealnim pripade preinstalovat
stroj, a vsechno zakazat - a postupne povolovat. Je to lepsi, bo
vysekavat takovyho hackera je nekdy pekna makacka....

Coz me pripomina, zkontrolujte crontaby, jestli v nich nenajdtete neco
nekaleho, a rozhodne zkontrolujte procesy, pokud se v nich vyznate,
strilejte vsechno co tam nema delat ;)

Ondrej Tuma

Dne 16/7/2007, napsal "Dalibor Straka" <dast na panelnet.cz>:

>Ahoj vsichni,
>
>mam na serveru derave www stranky napsane v php. Webmaster je neumi
>predelat (protoze to nekde zkopiroval) sef zase za nove/opravu nechce
>zaplatit. Webove stranky nechce odstavit a tak tam je doslova volny
>pristup na uzivatele www-data.
>
>Maily jsem tam zrusil kvuli spamum a zrejme do cronu dam kazdou hodinu
>prepsat adresar /var/www ;-). Databaze mysql, ktera obsahuje vetsinu
>weboveho obsahu je na jinem stroji a _zatim_ nedotcena.
>
>Nenapadaji vas dalsi rozumne kroky k zabezpecneni? Zatim to hackli 4x
>(jednou phpshell, podruhe spamy, potreti deface, porno server - ten me
>potesil). Majitel firmy akorat pozadal o omezeni rychlosti na 5Mbit
>a tot vse. Jeste zvazuju kvotu pro filesystem uzivateli www-data a
>povolit pristup pouze z CR (to nevim jestli vubec lze). Jinak mam na
>serveru AIDE, to je neco jako tripwire. Na roota se nedostali, ale
>je to spise jejich neschopnost, kdyz uz maji shell...
>
>Diky za napady,
>-- Dalibor Straka
>P.S. Poznamek na adresu majitele onoho webserveru me usetrete,
>sam jich mam dost ;-).
>_______________________________________________
>Linux mailing list
>Linux na linux.cz
>http://www.linux.cz/mailman/listinfo/linux

Další informace o konferenci Linux