Trápení webhosterů aneb cizí botnet zevnitř (diskuse)

Funkce system, passthru, exec a shell_exec mám zakázané a na každý VirtualHost mám nastaveno open.basedir přímo na něj + na místo, kde má PHP upload temp. Díky tomu bych měl být v bezpečí :-)

*´¨`*.¸.·´¨`*.¸.·*´`*·>>>

27.9.2009 18:53 H0ax | skóre: 36 | blog: Odnikud_nikam
Rozbalit Rozbalit vše Re: Trápení webhosterů aneb cizí botnet zevnitř

Používáš-li mysql, jsi si jist, že tvá data nelze číst třeba takto: http://dev.mysql.com/doc/refman/5.1/en/load-data.html ? ;-)

uid=0(root) gid=0(root) skupiny=0(root)

27.9.2009 20:08 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Trápení webhosterů aneb cizí botnet zevnitř

Jenom v případě, že už je opravené tohle

Quando omni flunkus moritati

PERL posoudit neumím, ale to PHP je pěkný bastl. Někdy mi nedá, abych neobdivoval kvality temné strany, ale tahle ubohá splácanina si zaslouží jen pohrdání. A ovládací server chráněný security by obscurity je taky k smíchu. Nejen, že jsou to zlí crackeři, oni navíc svou práci ani neumí udělat pořádně. IT je zase jedno odvětví, kde se modlou stal cíl a nikoliv cesta k němu.

Nejsmutnejsi je, jak se ten jeden server ve screenshotu hrde hlasi 2.6.30.4-grsec. Novy jadro, jeste s grsec a je to uplne na hovno.

27.9.2009 21:58 CEST
Rozbalit Rozbalit vše Re: Trápení webhosterů aneb cizí botnet zevnitř

A co se tyka cinnosti, asi bych tam zkusil nejak do cronu nebo do nejakyho top level index.php prihodit kod, kterej odesle na pozadi email na ruzny emailovy adresy patrici tomu spravci (root@domain, abuse@domain, info@domain) s textem neco jako "vas server se jmenem XYZ na IP ABC byl hacknut, prosim, zkontrolujte zabezpeceni". A dale bych pak pro jistotu smaznul tu diru, pres kterou se to aktivuje (pokud to neni prolejzani tisicovek php kodu a hledani).

27.9.2009 22:18 limit_false | skóre: 23 | blog: limit_false
Rozbalit Rozbalit vše Re: Trápení webhosterů aneb cizí botnet zevnitř

Jak jsem psal pred chvili, grsecurity neochrani od chyby aplikace, akorat ji omezi (chrani pred buffer overflow, vylamovani se z chrootu atd.). Je pravda, ze meli zapnout trusted path execution (zabrani spousteni skriptu v /tmp), jenze kdyz je to hosting (tipuju) a uzivatel si udela permanentne writable adresar se skripty, tak nic nezabrani zapisu a spusteni utocnikova skriptu.

When people want prime order group, give them prime order group.

Celkem me prekvapil vzorek stroju - *BSD a Linux s grsecurity. Nejspis jde o prunik pres user-level aplikaci (coz by odpovidalo 'whoami'). Jinak z vypisu 'ps -ef' na grsecurity masine je videt, ze to mozna maj relativne slusne nastaveny - nevidi cizi procesy (zajimalo by mne jestli to crackeri pri prodeji/pronajmu botnetu zminuji ;-) ). Pridat jeste trusted path execution a skriptum v /tmp odzvoni.

When people want prime order group, give them prime order group.

27.9.2009 23:06 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Trápení webhosterů aneb cizí botnet zevnitř

TPE NEZABRÁNÍ spuštění skriptu v libovolném adresáři. Spuštění programu možná. Jelikož se skript spouští přes interpretr (kterýžto pravidlům pro spuštění podle TPE vyhovuje), a ten interpretr si sám natáhne data z toho skriptu, skript se vykoná :)))

Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".

27.9.2009 23:58 limit_false | skóre: 23 | blog: limit_false
Rozbalit Rozbalit vše Re: Trápení webhosterů aneb cizí botnet zevnitř

True. Az ted jsem si vsiml, ze skript je volan "cd /tmp; perl blabla" misto "/tmp/blabla", kde TPE IIRC plati. Holt branit se vlastnim uzivatelum, zamestancum a jinym insiderum je nejtezsi ;-)

When people want prime order group, give them prime order group.