Zvlastni problem s deravym programem. (Pro silne povahy)

[garabik-news-2005-05 na kassiopeia.juls.savba.sk]

Dalibor Straka <dast na panelnet.cz> wrote:
> Ahoj vsichni,
> 
> mam na serveru derave www stranky napsane v php. Webmaster je neumi
> predelat (protoze to nekde zkopiroval) sef zase za nove/opravu nechce
> zaplatit. Webove stranky nechce odstavit a tak tam je doslova volny
> pristup na uzivatele www-data.
> 
> Maily jsem tam zrusil kvuli spamum a zrejme do cronu dam kazdou hodinu
> prepsat adresar /var/www ;-). Databaze mysql, ktera obsahuje vetsinu
> weboveho obsahu je na jinem stroji a _zatim_ nedotcena.
> 
> Nenapadaji vas dalsi rozumne kroky k zabezpecneni? Zatim to hackli 4x
> (jednou phpshell, podruhe spamy, potreti deface, porno server - ten me
> potesil). Majitel firmy akorat pozadal o omezeni rychlosti na 5Mbit
> a tot vse. Jeste zvazuju kvotu pro filesystem uzivateli www-data a
> povolit pristup pouze z CR (to nevim jestli vubec lze). Jinak mam na
> serveru AIDE, to je neco jako tripwire. Na roota se nedostali, ale
> je to spise jejich neschopnost, kdyz uz maji shell...
> 

grsecurity a CONFIG_GRKERNSEC_PROC, CONFIG_GRKERNSEC_EXECVE, 
CONFIG_GRKERNSEC_TPE, CONFIG_GRKERNSEC_SOCKET_CLIENT
hlavne tie posledne dva

/var/www vlastnika root a uzivatel www-data aby tam nemal pristup na zapis
(podla moznosti ani nikde inde, kde to nie je nevyhnutne potrebne - /tmp)

ulimit -u 1 (ak to nebude vadit tomu php, ale ine najnizsie mozne cislo)

-- 
 -----------------------------------------------------------
| Radovan Garabík http://kassiopeia.juls.savba.sk/~garabik/ |
| __..--^^^--..__    garabik @ kassiopeia.juls.savba.sk     |
 -----------------------------------------------------------
Antivirus alert: file .signature infected by signature virus.
Hi! I'm a signature virus! Copy me into your signature file to help me spread!