utok na apache

[Tomáš Koželuh]

Řekl bych, že přes htaccess jde zakázat spouštění php souborů, že? Potom
tedy povolit zápis do určitých adresářů a tam pak zakázat spouštění php.
Primární cíl to už stejně splní, protože nejdůležitější kořenový index.php
se nenakazí a sekundární cíl bude, že si to může vytvořit bambilion php
souborů, kde je to nemůže spouštět.
A pokud se jedná o webhosting, dal bych do podmínek nějaké sankce za blbost
uživatelů, například odstavení webu, než uživatel sjedná nápravu, eventuelně
by mělo stačit změnit heslo pro ftp přístup a informovat uživatele o tom,
proč mu bylo změněno.

Dokud nebude Apache opraven, mám obavy, že nějak rozumně se tomu nedá
bránit.

> -----Original Message-----
> From: linux-bounces na linux.cz [mailto:linux-bounces na linux.cz] On Behalf
> Of Petr Stehlik
> Sent: Sunday, September 20, 2009 1:28 PM
> 
> Tomáš Koželuh píše v Ne 20. 09. 2009 v 11:49 +0200:
> > Já bych řekl, že celý problém leží někde jinde. Už na začátku toho
> článku je
> > popsáno, jak se útočník do toho Apache dostane - přes hesla v Total
> > Commanderu a FTP.
> 
> ano, to útočník může vždycky, to je běžná chyba uživatele, že mu utečou
> hesla, ale ten útočník by pak neměl mít možnost měnit běžící procesy,
> IMHO.
> 
> > Další věc, které jsem si tam všiml, že kontroluje, jestli může
> zapisovat do
> > adresáře, IMHO velice jednoduchá oprava je zakázat Apachi zápis do
> > index.php
> 
> je dost obvyklé, že web umožňuje nahrávání souborů (třeba obrázků),
> takže Apache či PHP nakonec někam právo zápisu mají, a toho ten útočník
> zneužije.
> 
> > Ještě mě napadá jeden způsob obrany, když poběží Apache v chroot,
> neměl by
> > se být schopen shodit.
> 
> Apache se nijak neshazuje, ten útočný kód se "jen" připojí mezi apache
> thready a obsluhuje pak http požadavky (ne všechny, jen některé, ale to
> nevím, jestli je úmyslně nebo je to výsledkem toho, že je jen jedním z
> mnoha threadů).