Zvlastni problem s deravym programem. (Pro silne povahy)
Dalibor Straka
dast na panelnet.cz
Úterý Červenec 17 03:15:09 CEST 2007
On Tue, Jul 17, 2007 at 12:06:12AM +0000, OndřejTůma wrote:
> Husty :)
>
Zuzo :)
> zkoro bych doporucoval to zacvakat z vlastniho, odjed na dovcu a rict
> sefovi, ze to resite ve sklepe, aby ste na to mel alespon chladek :)
>
> Jinak, rozhodne pokud je ssh, tak omezit pristup na minimum uzivatelu (v
> idealnim pripade na minimum IP) to neni takovy problem, leckdy lze
> vyresit i pomoci /etc/hosts.deny resp. /etc/hosts.allow.
>
Uzivatele nejsou zadni. Jenom root a uzivatel pod kterym pracuju ja.
> Apache pokud to jenom malinko je mozne soupnout do chrootu mod_chroot,
> ale zalezi jake mate moznosti/schpnosti ten server prenastavit, ale
> predpokladam ze mate ;)
>
Jenze hackeri se ani nesnazi na roota povysit. Staci jim posilani
e-mailu z php a manipulace se soubory (movies server).
> z venku povolit jen to nutne (predpokladam ze staci webovy server), tim
> myslim port 80. Pokud je webmaster neschpny, hold musi stranky nahravat
> zevnitr site, nebo z USB/CD atd .. jeho blbost.
>
> pokud jsou hesla uhadnuta - rozhodne zmenit na neco slozitejsiho,
> pripadne sebrat shell uzivatelum, kteri ho nepotrebuji (beznym ftp
> serverum staci /bin/false). Doporucuji vystrachat / nainstalovat shell
> staticky zkompilovanej (pokud to lze) a samozrejme pokud mozno
> prekompilovat jadro tak, aby nepouzivalo moduly
>
Hesla nikdo nezna chodi si na usera www-data pres phpko. je to nejaky
XSS pres chybu v php skriptu nebo neco podobneho.
> takhle bych moh pokracovat hodne dlouho, v idealnim pripade preinstalovat
> stroj, a vsechno zakazat - a postupne povolovat. Je to lepsi, bo
> vysekavat takovyho hackera je nekdy pekna makacka....
>
> Coz me pripomina, zkontrolujte crontaby, jestli v nich nenajdtete neco
> nekaleho, a rozhodne zkontrolujte procesy, pokud se v nich vyznate,
> strilejte vsechno co tam nema delat ;)
>
Moc prace kvuli hloupemu majiteli. Vysla by ho draz, nezli licence na
engine novych www stranek.
-- Dalibor Straka
Další informace o konferenci Linux