Apache+PHP+Drupal

Linux-security

Apache+PHP+Drupal

  • 1031 megtekintés

( balmag | 2006. 01. 31., k – 11:46 )

Udv mindenkinek
Adott egy debian szerver (stable) amin egy apache+php+mysql fut es egy drupal alapu weboldal szolgal ki. Ez a gep a helyi halo tagja es csak 80-as portja van natolva a routeren. Tehat elvileg az osszes tobbi portja nem latszik.
Nos kerdes, hogyan tudnam biztonsagossa tenni, hiszen eszrevetteem hogy neha a /tmp konyvtar alatt furcsa fileok jelennek meg es neha furcsa processek inulnak el.
Miket tiltsak, hogyan vedekezzek.
Meg KEZDO vagyok ezen a teren.
Segitsetek!

( Sun | 2006. 01. 31., k – 12:03 )

Nos én még kezdőbb vagyok, de eszembe jutott egy dolog
A drupal-ban (és más cms-ekben) lehetőség van filefeltöltésre böngészőn keresztül (mondjuk ez nem cms függő, hanem php fügvény) és ha nincs beállítva, hogy mit csináljon a file-al vagy nincs jog (777) beállítva a könyvtárra amibe másolni szeretné marad a /tmp-be.

( balmag | 2006. 01. 31., k – 12:06 )

Nos errol en is hallottam
Kezdeskent tiltottam a php.ini-ben az exec() es system() fuggvenyeket.
Miket erdemes meg es hogyan tovabb hogy megfelelo legyen a vedelem.
(wget leszedve a geprol:)

( trey | 2006. 01. 31., k – 12:08 )

Hat ha ez igy van, akkor elso korben frissitsd fel a Drupal-t a legutolso verziora, mert a korabbiakban van egy xml-rpc hiba, ami lehetove teszi tetszoleges kod (koztuk fileok feltolteset, futtatasat is) a szerverre.

http://secunia.com/advisories/16432/

Utana pedig az Apache, PHP, MySQL triot is frissitsd fel a legujabb verziora.

[quote:fce8985868="balmag"]
Nos kerdes, hogyan tudnam biztonsagossa tenni, hiszen eszrevetteem hogy neha a /tmp konyvtar alatt furcsa fileok jelennek meg es neha furcsa processek inulnak el.
Miket tiltsak, hogyan vedekezzek.
Meg KEZDO vagyok ezen a teren.
Segitsetek!

( Sun | 2006. 01. 31., k – 12:12 )

nem külső programot futtat a drupal, hanem valaki feltöltött valamit.

( trey | 2006. 01. 31., k – 12:16 )

Ki beszelt itt arról hogy a Drupal futtat programot?

A hibat kihasznalva feltoltenek egy scriptet a tmp-be, majd ott futtatjak (ha nem noexec). A script masik webhelyrol lehuzza a fileokat (wget, fetch, links, lynx, ftp vagy barmi segitsegevel) majd zombi gepet / deface-t stb-t csinal. Ugyanezt csinalta a phpBB worm is a highlight bug eseten.

[quote:132510368a="Sun"]nem külső programot futtat a drupal, hanem valaki feltöltött valamit.

( balmag | 2006. 01. 31., k – 12:28 )

Minden futtatom a debian apt-get update majd apt-get upgrade parost, tehat apache+php+mysql elvileg a legfrissebb stabil debian csomag. A drupal frissites mar megtorteni 4.6.5 verzio.

A /tmp konyvtarat hogyan vedjem, milyen php vedelem kell meg esetleg.

( Sun | 2006. 01. 31., k – 12:32 )

[quote:43a04a9283="trey"]Ki beszelt itt arról hogy a Drupal futtat programot?

Akkor rosszul fejeztem ki magam. A két fügvény amit ír ehhez kapcsolódik, én pedig feltételeztem, hogy valaki feltöltött valamit, és azt nem tudja mit és ki töltötte fel.

ja és nem a te 4. válaszodra írtam, hanem a 3.-ra csak tied előbb lett elküldve...