Botnet az Apache2 ellen

Hálózatok általános

Egyelőre nem találtam jobb helyet a témának, ötletet szívesen veszek.
Adott egy Debian telepítés, bérelt vonalon van. Több cég weboldalát szolgálja ki. Egyiket valahogy megtörték és www-data felhasználóval fel tudtak rakni pár php oldalt. Még nem néztem meg azokat tüzetesen, de persze kivettem azokat az adott weblap alól. Most az Apache2 error.log rendesen növekszik, mivel mindenféle IP cím (2.x.x.x-től) csatlakozna ahhoz a PHP állományhoz. Egyik sem csinálja túl gyakran hogy tűzfalból tíltásra kerüljön. Ellenben rengeteg különféle IP jön és nincs ötletem mit lehetne csinálni.

OK, gondot nem okoz mert csak az error.log növekszik már. Inkább azt kellene megtalálnom hogy a weoboldal hogyan tette lehetővé a script-ek felmásolását, ugye? A botnet üzemeltetői meg majd továbbállnak?

  • 2288 megtekintés

( _ventura_ v | 2012. 04. 01., v – 11:26 )

Amiket eddig én láttam az kb annyi volt, hogy www-data ként tudja írni a /tmp, sőt sokszor a /var/www/ -t. Amiben ráadásul a legtöbb weboldal is www-data néven van így semmiből nem tart átírni/megváltoztatni stb őket.

Szóval mégha minden oldal is azonos www-data val fut, a minimum az hogy openbase-dir el bezárni a saját könyvtárába, esetleg /tmp be és kész. php iniben tiltani sok sok php függvényt ami a rendszer macerálására irányul, socketek, system stb.

Fedora 16, Thinkpad x61s

Ez a része megvan, a cég saját webroot-jába kerültek be a támadó PHP állományai. Pár függvényt már tiltottam, de úgy látszik nem eleget. Kielemzem majd hogy mit csinál.

Kérdésem inkább arra vonatkozik, tudok-e tenni az ellen valamit hogy egy adott PHP-re és annak jegyzékére (könyvtárra) érkező kéréseket tiltsam ha egy adott idő alatt sok kérés jön be? IP címre nem tudok alapozni, mert rengeteg különféle jön.

Egyetlen _biztos_ mód van: ha azokba a könyvtárakba, amikből az apache-od hajlandó kódot (.php) futtatni, nem adsz írásjogot az apache alatt futó programoknak (.php). Ez nagyjából azt jelenti, hogy szinte semmilyen php-s portál/cms rendszert nem tudsz használni, mert azok úgy indulnak, hogy engedd meg nekik a saját maguk átírását, ami azzal jár, hogy _bármilyen_ bug akár a php-ban, akár bennük azonnal kódfuttatási jogot ad a támadónak.

( STP | 2012. 04. 01., v – 17:44 )

A megoldás: olyan csúnya oldalt kell készíteni, hogy bot-tal se piszkálják meg.

( koqsz | 2012. 04. 01., v – 17:54 )

suphp, virtuális ftp-userek, minden oldalnak egyéni php.ini, amibe saját tmp könyvtár kialakítás, doc_root-ba beszorítása az oldalnak egy csomó megszorítás (futtatási jogok megvonása pl). Kezdetnek ennyi