Re: apache hack
Medovárszky Zoltán wrote: > 2009.05.14. 16:11 keltezéssel, Gabor HALASZ írta: >> Melyik kernel van benne? Udev nem fut, ugye? > 2.6.18-6-amd64 > De igen, udevd fut. A 141nel kisebb udev localrootexploitalhato, es van hozza publikus kod, igy ha a www-data userrel kodot tud futtatni, barmit tehet. -- Gabor HALASZ _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
2009.05.14. 16:11 keltezéssel, Gabor HALASZ írta: > Melyik kernel van benne? Udev nem fut, ugye? 2.6.18-6-amd64 De igen, udevd fut. > Attol tartok, hogy nullarol ujrainstall lesz a megoldas. > netstat -nlp kimenetet alaposan nezegesd at. Mindenkeppen cserelj > kernelt, lehetoleg modultalanra. Senkinek ne legyen futtathato shellje a > gepen. Nem akarom elkiabálni, de mod_security úgy néz ki megoldotta. Reggelre kiderül. Üdv, Igor _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
Medovárszky Zoltán wrote: > Apache 2.2.11, csak a szükséges modulokkal. > Distrib debian etch Melyik kernel van benne? Udev nem fut, ugye? > Security tips-ben javallotakat megcsináltam. Attol tartok, hogy nullarol ujrainstall lesz a megoldas. netstat -nlp kimenetet alaposan nezegesd at. Mindenkeppen cserelj kernelt, lehetoleg modultalanra. Senkinek ne legyen futtathato shellje a gepen. -- Gabor HALASZ _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
2009.05.14. 13:22 keltezéssel, Gabor HALASZ írta: > Igen, de mire megy vele? A keylogger nem tudja, mire jo, a bot > vegigprobalja vele az accountokat, aztan vege. > Amikor nincs fizikai kontroll a kliensek felett, nagyon nehez korrekt > vedelmet kialakitani, altalaban kell valami fizikai kiegeszito, token, > smartcard, password kalkulator, de nem kell tulzasba esni, eleg, ha a > legelterjedtebb botok nem tudjak kezelni. A human attack ellen nincs > orvossag. > > Egyetértek. De a human attack ellen semmire nem megyek az erős authentikációval, ha maga a szolgáltatásban van a hiba. Hiba meg mindig lesz. Feltettem az apache mod_security-t, kíváncsi vagyok mire jut. Már több hónapja ott hever a polcomon a psad+fwsnort doksi, úgy látszik eljött az ideje, hogy átnyálazzam azt a 300 oldalt :) Üdv, Igor _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
2009.05.14. 11:16 keltezéssel, Gabor HALASZ írta: > winscpvel csak elboldogul, ha ftpzni tud. Amikor arra a kérdésre, hogy milyen e-mail klienst használ az a válasz: Hát duplán kattintok, akkor nincs sok remény. Próbálom inkább a meglévő rendszert biztonságossá tenni, minthogy a felhasználókra erőszakoljak valamit. > AjveEz valoban rosszul hangzik, es nem a szokasos kod injection, > amirol beszelunk neked. Milyen apache? Milyen disztribucio? Ezek > megvoltak: http://httpd.apache.org/docs/2.0/misc/security_tips.html? Az > apache userenek mi a shellje? Csinalj chrottban egy komplett > installaciot valami tiszta forrasbol (akar masik gepen) es futtasd abban > az apacheot. Apache 2.2.11, csak a szükséges modulokkal. Distrib debian etch Security tips-ben javallotakat megcsináltam. Üdv, Igor _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
Attila Rajmund Nohl wrote: > Gabor HALASZ írta, 2009.05.14.: >> Lajber Zoltan wrote: > [...] >>> Elvi kerdes: ha nem jelszo, hanem RSA kulcs auth van (es ftp helyett >>> winscp), akkor azt nehezebben szerzik meg? >>> >> Egyreszt az rsa kulcsot lehet passprhase-sal vedeni, > > Amit egy keylogger megfoghat... > Igen, de mire megy vele? A keylogger nem tudja, mire jo, a bot vegigprobalja vele az accountokat, aztan vege. Amikor nincs fizikai kontroll a kliensek felett, nagyon nehez korrekt vedelmet kialakitani, altalaban kell valami fizikai kiegeszito, token, smartcard, password kalkulator, de nem kell tulzasba esni, eleg, ha a legelterjedtebb botok nem tudjak kezelni. A human attack ellen nincs orvossag. >> masreszt imho nem >> nagyon keresik, leven a nagy tobbseg ugyis passwordot hasznal. > > Ez mondjuk igaz. Nem a legbiztonságosabb megoldás kell, csak a > szomszédnál legyen biztonságosabb, hogy őt törjék... Pontosan. Csak addig kell eljutni, hogy a standard botok ne boldoguljanak vele, igy barmilyen, nem standard megoldas jo lehet. Arra is gondoltam mar, hogy az ftp login utan egy egszeru kerdest kell meg megvalaszoltatni a userrrel, pl 1 + 1 = es hasonlok. Vagy ha minden felhasznalo magyar nyelvu, akkor barmit lehet kerdezni -- Gabor HALASZ _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
Medovárszky Zoltán írta, 2009.05.14.: > Szevasztok! > > Több napja küzdök egy problémával, de szakértelmem hiányában nem tudom > megoldani. > > 1-2 óránként megtörik az apache daemont, ami ezután időnként üres > oldlakat szolgál ki illetve egy trójai kódot tartalmazó oldalra irányít. > > Eleinte néhány tcsh processt láttam www-data userrel, most már httpd-ből > van néhány gyanús process. > Apache, php a legfrissebb, open basedir van minden virtualhoston. > > Snort logom van kérdéses időpontból, de ez még nem segít megtalálnom a > biztonsági rést. > > Hogyan induljak neki? Nincs 200eFt-m most megbízni egy szakértőt, de > természetesen tudok rá pénzt is szánni. Szerintem egy teljesen új install és az összes jelszó és kulcs megváltoztatása nélkül minden más csak dísz... _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
Gabor HALASZ írta, 2009.05.14.: > Lajber Zoltan wrote: [...] >> Elvi kerdes: ha nem jelszo, hanem RSA kulcs auth van (es ftp helyett >> winscp), akkor azt nehezebben szerzik meg? >> > Egyreszt az rsa kulcsot lehet passprhase-sal vedeni, Amit egy keylogger megfoghat... > masreszt imho nem > nagyon keresik, leven a nagy tobbseg ugyis passwordot hasznal. Ez mondjuk igaz. Nem a legbiztonságosabb megoldás kell, csak a szomszédnál legyen biztonságosabb, hogy őt törjék... _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
2009.05.14. 10:25 keltezéssel, Erdelyi Gabor írta: > Nem az apache-ot, hanem valamelyik webet zuzzak. > mod_security, disable_functions (exec es tarsai) > Plusz noexec mount es ha lehet, ne legyen a www-datanak > irasjoga a webes cuccra. mod_security igéretesnek tűnik. Rulesetjeivel mi a tapasztalatod. Nem lenne jobb inkább psad? Az nem csak az apache-ot védené. Snort sourcefire szabályok felé hajlok inkább, de lehet, hogy semmi alapja. Üdv, Igor _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
Lajber Zoltan wrote: > On Thu, 14 May 2009, [ISO-8859-2] Medovárszky Zoltán wrote: > >>> jonnek be? FTP hozzaferes nincs, amit megszereztek? >> Természetesen megszerezhettek ftp logint is, rengeteg user van. > > Elvi kerdes: ha nem jelszo, hanem RSA kulcs auth van (es ftp helyett > winscp), akkor azt nehezebben szerzik meg? > Egyreszt az rsa kulcsot lehet passprhase-sal vedeni, masreszt imho nem nagyon keresik, leven a nagy tobbseg ugyis passwordot hasznal. -- Gabor HALASZ _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
Lajber Zoltan írta: > On Thu, 14 May 2009, [ISO-8859-2] Medovárszky Zoltán wrote: > >>> jonnek be? FTP hozzaferes nincs, amit megszereztek? >> Természetesen megszerezhettek ftp logint is, rengeteg user van. > > Elvi kerdes: ha nem jelszo, hanem RSA kulcs auth van (es ftp helyett > winscp), akkor azt nehezebben szerzik meg? Ha _csak_ abból indulunk ki, hogy az FTP plaintext, az ssh meg encrypted, akkor igen. Ha meg abból, hogy melyik, milyen biztonsági rést tartalmaz, amin keresztül be lehet jutni, akkor minden szerviz törhető. Mindazonáltal FTP esetén lehet kísérletezni jobban/könnyebben. Nem ritka a www.cegnev.hu oldal eléréséhez szükséges usernévnél a cegnev használata, és mellé természetesen a cegnev a jelszo is. Szóval FTP esetén még az emberi hülyeség is komoly sechole. Nálunk pl. (pont ezek miatt) a hostolt oldalak fájlszintű elérése a user számára egy VPN login, és utána samba share használatával lehetséges. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
On Thu, 14 May 2009, [ISO-8859-2] Medovárszky Zoltán wrote: > > jonnek be? FTP hozzaferes nincs, amit megszereztek? > Természetesen megszerezhettek ftp logint is, rengeteg user van. Elvi kerdes: ha nem jelszo, hanem RSA kulcs auth van (es ftp helyett winscp), akkor azt nehezebben szerzik meg? Udv, -=Lajbi=- LAJBER ZoltanSzent Istvan Egyetem, Informatika Hivatal HTH=Hope This Helps, YMMV=Your Mileage May Vary, HAND=Have A Nice Day _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
Medovárszky Zoltán wrote:
> 2009.05.14. 10:14 keltezéssel, Gabor HALASZ írta:
>> Valoszinuleg valamelyik virtualhostot piszkaljak, siman felulirjak ftp-n
>> keresztul a tartalmat a kedves userek feltort geperol szarmazo
>> jelszoval. Kapcsold le az ftp-t, a userek csak scp-vel frissitsenek, azt
>> lehet mod_chroot-tal megtamogatni, es csak kulccsal, nem jelszoval.
> Ez sajnos nem megoldható, sok az átlagos buta user, akiktől még az ftp
> használata is nagy teljesítmény.
winscpvel csak elboldogul, ha ftpzni tud.
>> Hasonlo problemaval kuzdo cimbora otlete:
>>
>> find /var/www \( -name "*.htm*" -o -name "*.php*" -o -name "*.inc*" \)
>> -exec grep -liH "base64_decode(" {} \;>>logfile
>> find /var/www \( -name "*.htm*" -o -name "*.php*" -o -name "*.inc*" \)
>> -exec grep -liH "String.fromCharCode" {} \;>>logfile
>> find /var/www \( -name "*.htm*" -o -name "*.php*" -o -name "*.inc*" \)
>> -exec grep -liH "http://httpd.apache.org/docs/2.0/misc/security_tips.html? Az
apache userenek mi a shellje? Csinalj chrottban egy komplett
installaciot valami tiszta forrasbol (akar masik gepen) es futtasd abban
az apacheot.
--
Gabor HALASZ
_
linux lista - linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
hello, > Természetesen megszerezhettek ftp logint is, rengeteg user van. ftp logot megnézted már, hátha találsz ott is valami releváns infot... > > > php_admin_value open_basedir "/var/www/domain.tld:/tmp" > > ez akar jo is lehet, de fileupload-dal (vagy ftp-vel) siman fel tudjak tolteni a szukseges programokat. > > portokon figyelnek meg a www-data user altal futtatott > > processzek. > netstat -antup nekem nem ad vissza usereket. igen, ezt beneztem, bocs (bar a man irja...) > > Megneznem meg a fileok modositasanak datumat, mik modosultak a > > tores elotti par napban - de lehet, hogy erre is gondoltak. Ha > > shellt tudnak inditani, valszeg' mashoz is hozzafernek. Ill > > keress file feltoltest kezelo PHP kodot a vhosztok kozott. > > > > > Ez nem megoldható, sokszázas nagyságrendű vhostról van szó, nincs rá > emeberi erőforrás aki átnézze. man find, pl find /path/to/httpdocroot -mtime -2 -type f remelhetoleg a logok nem itt vannak :) aztan man grep, es grep -r "\$_FILE" /path/to/httpdocroot egybol informacioval halmoz el... a. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
2009.05.14. 10:14 keltezéssel, Gabor HALASZ írta:
> Valoszinuleg valamelyik virtualhostot piszkaljak, siman felulirjak ftp-n
> keresztul a tartalmat a kedves userek feltort geperol szarmazo
> jelszoval. Kapcsold le az ftp-t, a userek csak scp-vel frissitsenek, azt
> lehet mod_chroot-tal megtamogatni, es csak kulccsal, nem jelszoval.
Ez sajnos nem megoldható, sok az átlagos buta user, akiktől még az ftp
használata is nagy teljesítmény.
> Hasonlo problemaval kuzdo cimbora otlete:
>
> find /var/www \( -name "*.htm*" -o -name "*.php*" -o -name "*.inc*" \)
> -exec grep -liH "base64_decode(" {} \;>>logfile
> find /var/www \( -name "*.htm*" -o -name "*.php*" -o -name "*.inc*" \)
> -exec grep -liH "String.fromCharCode" {} \;>>logfile
> find /var/www \( -name "*.htm*" -o -name "*.php*" -o -name "*.inc*" \)
> -exec grep -liH "http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
2009.05.14. 10:09 keltezéssel, Hegedüs Ervin írta: > biztos, hogy az apache-on (valszeg vmi PHP kodon keresztul) > jonnek be? FTP hozzaferes nincs, amit megszereztek? Természetesen megszerezhettek ftp logint is, rengeteg user van. > az hogy friss, meg nem jelent semmit :) > Igen, tudom sajnos, csak mint releváns információt közöltem :) > Az open_basedir hogy van beallitva? Tudsz peldat irni? > php_admin_value open_basedir "/var/www/domain.tld:/tmp" > ill netstat -antup | grep www-data kimenetet nezd meg, milyen > portokon figyelnek meg a www-data user altal futtatott > processzek. netstat -antup nekem nem ad vissza usereket. > A docroot-ok kulon particion vannak? noexec van legalabb a mount > opciokban? Ha nincs, meg tudod oldani? Lehet, hogy azt a tcsh-t > ok toltottek fel, es igy futtatjak - hiaba az open_basedir. > > Igen, külön partición vannak. Nem volt noexec, most már van. > Megneznem meg a fileok modositasanak datumat, mik modosultak a > tores elotti par napban - de lehet, hogy erre is gondoltak. Ha > shellt tudnak inditani, valszeg' mashoz is hozzafernek. Ill > keress file feltoltest kezelo PHP kodot a vhosztok kozott. > > Ez nem megoldható, sokszázas nagyságrendű vhostról van szó, nincs rá emeberi erőforrás aki átnézze. Üdv, Igor _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
Medovárszky Zoltán wrote: > Apache, php a legfrissebb, open basedir van minden virtualhoston. Nem az apache-ot, hanem valamelyik webet zuzzak. mod_security, disable_functions (exec es tarsai) Plusz noexec mount es ha lehet, ne legyen a www-datanak irasjoga a webes cuccra. -- Udv: Erdelyi Gabor _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
hello, > 1-2 óránként megtörik az apache daemont, ami ezután időnként üres > oldlakat szolgál ki illetve egy trójai kódot tartalmazó oldalra irányít. biztos, hogy az apache-on (valszeg vmi PHP kodon keresztul) jonnek be? FTP hozzaferes nincs, amit megszereztek? > Eleinte néhány tcsh processt láttam www-data userrel, most már httpd-ből > van néhány gyanús process. > Apache, php a legfrissebb, open basedir van minden virtualhoston. az hogy friss, meg nem jelent semmit :) Az open_basedir hogy van beallitva? Tudsz peldat irni? ill netstat -antup | grep www-data kimenetet nezd meg, milyen portokon figyelnek meg a www-data user altal futtatott processzek. A docroot-ok kulon particion vannak? noexec van legalabb a mount opciokban? Ha nincs, meg tudod oldani? Lehet, hogy azt a tcsh-t ok toltottek fel, es igy futtatjak - hiaba az open_basedir. Megneznem meg a fileok modositasanak datumat, mik modosultak a tores elotti par napban - de lehet, hogy erre is gondoltak. Ha shellt tudnak inditani, valszeg' mashoz is hozzafernek. Ill keress file feltoltest kezelo PHP kodot a vhosztok kozott. a. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
Medovárszky Zoltán wrote:
>
> 1-2 óránként megtörik az apache daemont, ami ezután időnként üres
> oldlakat szolgál ki illetve egy trójai kódot tartalmazó oldalra irányít.
>
Szerintem nem az apache-ot bantjak.
> Eleinte néhány tcsh processt láttam www-data userrel, most már httpd-ből
> van néhány gyanús process.
> Apache, php a legfrissebb, open basedir van minden virtualhoston.
Valoszinuleg valamelyik virtualhostot piszkaljak, siman felulirjak ftp-n
keresztul a tartalmat a kedves userek feltort geperol szarmazo
jelszoval. Kapcsold le az ftp-t, a userek csak scp-vel frissitsenek, azt
lehet mod_chroot-tal megtamogatni, es csak kulccsal, nem jelszoval.
>
> Snort logom van kérdéses időpontból, de ez még nem segít megtalálnom a
> biztonsági rést.
>
> Hogyan induljak neki? Nincs 200eFt-m most megbízni egy szakértőt, de
> természetesen tudok rá pénzt is szánni.
>
Hasonlo problemaval kuzdo cimbora otlete:
find /var/www \( -name "*.htm*" -o -name "*.php*" -o -name "*.inc*" \)
-exec grep -liH "base64_decode(" {} \; >>logfile
find /var/www \( -name "*.htm*" -o -name "*.php*" -o -name "*.inc*" \)
-exec grep -liH "String.fromCharCode" {} \; >>logfile
find /var/www \( -name "*.htm*" -o -name "*.php*" -o -name "*.inc*" \)
-exec grep -liH "http://mlf2.linux.rulez.org/mailman/listinfo/linux
