Zvlastni problem s deravym programem. (Pro silne povahy)

[Dalibor Straka]

On Tue, Jul 17, 2007 at 12:06:12AM +0000, OndřejTůma wrote:
> Husty :)
> 
Zuzo :)

> zkoro bych doporucoval to zacvakat z vlastniho, odjed na dovcu a rict
> sefovi, ze to resite ve sklepe, aby ste na to mel alespon chladek :)
> 
> Jinak, rozhodne pokud je ssh, tak omezit pristup na minimum uzivatelu (v
> idealnim pripade na minimum IP) to neni takovy problem, leckdy lze
> vyresit i pomoci /etc/hosts.deny resp. /etc/hosts.allow.
> 
Uzivatele nejsou zadni. Jenom root a uzivatel pod kterym pracuju ja.

> Apache pokud to jenom malinko je mozne soupnout do chrootu mod_chroot,
> ale zalezi jake mate moznosti/schpnosti ten server prenastavit, ale
> predpokladam ze mate ;)
> 
Jenze hackeri se ani nesnazi na roota povysit. Staci jim posilani
e-mailu z php a manipulace se soubory (movies server).

> z venku povolit jen to nutne (predpokladam ze staci webovy server), tim
> myslim port 80. Pokud je webmaster neschpny, hold musi stranky nahravat
> zevnitr site, nebo z USB/CD atd .. jeho blbost.
> 
> pokud jsou hesla uhadnuta - rozhodne zmenit na neco slozitejsiho,
> pripadne sebrat shell uzivatelum, kteri ho nepotrebuji (beznym ftp
> serverum staci /bin/false). Doporucuji vystrachat / nainstalovat shell
> staticky zkompilovanej (pokud to lze) a samozrejme pokud mozno
> prekompilovat jadro tak, aby nepouzivalo moduly
> 
Hesla nikdo nezna chodi si na usera www-data pres phpko. je to nejaky
XSS pres chybu v php skriptu nebo neco podobneho.

> takhle bych moh pokracovat hodne dlouho, v idealnim pripade preinstalovat
> stroj, a vsechno zakazat - a postupne povolovat. Je to lepsi, bo
> vysekavat takovyho hackera je nekdy pekna makacka....
> 
> Coz me pripomina, zkontrolujte crontaby, jestli v nich nenajdtete neco
> nekaleho, a rozhodne zkontrolujte procesy, pokud se v nich vyznate,
> strilejte vsechno co tam nema delat ;)
> 
Moc prace kvuli hloupemu majiteli. Vysla by ho draz, nezli licence na
engine novych www stranek.

-- Dalibor Straka