Re: apache hack
Medovárszky Zoltán wrote: 2009.05.14. 16:11 keltezéssel, Gabor HALASZ írta: Melyik kernel van benne? Udev nem fut, ugye? 2.6.18-6-amd64 De igen, udevd fut. A 141nel kisebb udev localrootexploitalhato, es van hozza publikus kod, igy ha a www-data userrel kodot tud futtatni, barmit tehet. -- Gabor HALASZ halas...@freemail.hu _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
apache hack
Szevasztok! Több napja küzdök egy problémával, de szakértelmem hiányában nem tudom megoldani. 1-2 óránként megtörik az apache daemont, ami ezután időnként üres oldlakat szolgál ki illetve egy trójai kódot tartalmazó oldalra irányít. Eleinte néhány tcsh processt láttam www-data userrel, most már httpd-ből van néhány gyanús process. Apache, php a legfrissebb, open basedir van minden virtualhoston. Snort logom van kérdéses időpontból, de ez még nem segít megtalálnom a biztonsági rést. Hogyan induljak neki? Nincs 200eFt-m most megbízni egy szakértőt, de természetesen tudok rá pénzt is szánni. A 3-5. sorok lehetnek a ludasak ps xau | grep www-data részlet: USER PID %CPU %MEMVSZ RSS TTY STAT START TIME COMMAND www-data 30333 0.2 3.4 359588 141016 ? S00:19 1:09 /usr/local/apache-2.2.11/bin/httpd -k start www-data 30337 0.2 3.5 361032 142144 ? S00:19 1:04 /usr/local/apache-2.2.11/bin/httpd -k start www-data 10158 0.0 0.0 5964 560 ?S01:34 0:01 /usr/local/apache-2.2.11/bin/httpd -k start www-data 10159 0.0 0.0 5964 560 ?S01:34 0:01 /usr/local/apache-2.2.11/bin/httpd -k start www-data 10160 0.0 0.0 5964 560 ?S01:34 0:01 /usr/local/apache-2.2.11/bin/httpd -k start www-data 28827 0.2 3.4 358420 139292 ? S05:49 0:17 /usr/local/apache-2.2.11/bin/httpd -k start www-data 28828 0.2 3.4 358764 140036 ? S05:49 0:21 /usr/local/apache-2.2.11/bin/httpd -k start _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
Medovárszky Zoltán wrote:
1-2 óránként megtörik az apache daemont, ami ezután időnként üres
oldlakat szolgál ki illetve egy trójai kódot tartalmazó oldalra irányít.
Szerintem nem az apache-ot bantjak.
Eleinte néhány tcsh processt láttam www-data userrel, most már httpd-ből
van néhány gyanús process.
Apache, php a legfrissebb, open basedir van minden virtualhoston.
Valoszinuleg valamelyik virtualhostot piszkaljak, siman felulirjak ftp-n
keresztul a tartalmat a kedves userek feltort geperol szarmazo
jelszoval. Kapcsold le az ftp-t, a userek csak scp-vel frissitsenek, azt
lehet mod_chroot-tal megtamogatni, es csak kulccsal, nem jelszoval.
Snort logom van kérdéses időpontból, de ez még nem segít megtalálnom a
biztonsági rést.
Hogyan induljak neki? Nincs 200eFt-m most megbízni egy szakértőt, de
természetesen tudok rá pénzt is szánni.
Hasonlo problemaval kuzdo cimbora otlete:
find /var/www \( -name *.htm* -o -name *.php* -o -name *.inc* \)
-exec grep -liH base64_decode( {} \; logfile
find /var/www \( -name *.htm* -o -name *.php* -o -name *.inc* \)
-exec grep -liH String.fromCharCode {} \; logfile
find /var/www \( -name *.htm* -o -name *.php* -o -name *.inc* \)
-exec grep -liH /htmliframe src= {} \; logfile
--
Gabor HALASZ halas...@freemail.hu
_
linux lista - linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
hello, 1-2 óránként megtörik az apache daemont, ami ezután időnként üres oldlakat szolgál ki illetve egy trójai kódot tartalmazó oldalra irányít. biztos, hogy az apache-on (valszeg vmi PHP kodon keresztul) jonnek be? FTP hozzaferes nincs, amit megszereztek? Eleinte néhány tcsh processt láttam www-data userrel, most már httpd-ből van néhány gyanús process. Apache, php a legfrissebb, open basedir van minden virtualhoston. az hogy friss, meg nem jelent semmit :) Az open_basedir hogy van beallitva? Tudsz peldat irni? ill netstat -antup | grep www-data kimenetet nezd meg, milyen portokon figyelnek meg a www-data user altal futtatott processzek. A docroot-ok kulon particion vannak? noexec van legalabb a mount opciokban? Ha nincs, meg tudod oldani? Lehet, hogy azt a tcsh-t ok toltottek fel, es igy futtatjak - hiaba az open_basedir. Megneznem meg a fileok modositasanak datumat, mik modosultak a tores elotti par napban - de lehet, hogy erre is gondoltak. Ha shellt tudnak inditani, valszeg' mashoz is hozzafernek. Ill keress file feltoltest kezelo PHP kodot a vhosztok kozott. a. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
Medovárszky Zoltán l...@igor.hu wrote: Apache, php a legfrissebb, open basedir van minden virtualhoston. Nem az apache-ot, hanem valamelyik webet zuzzak. mod_security, disable_functions (exec es tarsai) Plusz noexec mount es ha lehet, ne legyen a www-datanak irasjoga a webes cuccra. -- Udv: Erdelyi Gabor _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
2009.05.14. 10:09 keltezéssel, Hegedüs Ervin írta: biztos, hogy az apache-on (valszeg vmi PHP kodon keresztul) jonnek be? FTP hozzaferes nincs, amit megszereztek? Természetesen megszerezhettek ftp logint is, rengeteg user van. az hogy friss, meg nem jelent semmit :) Igen, tudom sajnos, csak mint releváns információt közöltem :) Az open_basedir hogy van beallitva? Tudsz peldat irni? Directory /var/www/domain.tld IfModule mod_php5.c php_admin_value open_basedir /var/www/domain.tld:/tmp /IfModule /Directory ill netstat -antup | grep www-data kimenetet nezd meg, milyen portokon figyelnek meg a www-data user altal futtatott processzek. netstat -antup nekem nem ad vissza usereket. A docroot-ok kulon particion vannak? noexec van legalabb a mount opciokban? Ha nincs, meg tudod oldani? Lehet, hogy azt a tcsh-t ok toltottek fel, es igy futtatjak - hiaba az open_basedir. Igen, külön partición vannak. Nem volt noexec, most már van. Megneznem meg a fileok modositasanak datumat, mik modosultak a tores elotti par napban - de lehet, hogy erre is gondoltak. Ha shellt tudnak inditani, valszeg' mashoz is hozzafernek. Ill keress file feltoltest kezelo PHP kodot a vhosztok kozott. Ez nem megoldható, sokszázas nagyságrendű vhostról van szó, nincs rá emeberi erőforrás aki átnézze. Üdv, Igor _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
2009.05.14. 10:14 keltezéssel, Gabor HALASZ írta:
Valoszinuleg valamelyik virtualhostot piszkaljak, siman felulirjak ftp-n
keresztul a tartalmat a kedves userek feltort geperol szarmazo
jelszoval. Kapcsold le az ftp-t, a userek csak scp-vel frissitsenek, azt
lehet mod_chroot-tal megtamogatni, es csak kulccsal, nem jelszoval.
Ez sajnos nem megoldható, sok az átlagos buta user, akiktől még az ftp
használata is nagy teljesítmény.
Hasonlo problemaval kuzdo cimbora otlete:
find /var/www \( -name *.htm* -o -name *.php* -o -name *.inc* \)
-exec grep -liH base64_decode( {} \;logfile
find /var/www \( -name *.htm* -o -name *.php* -o -name *.inc* \)
-exec grep -liH String.fromCharCode {} \;logfile
find /var/www \( -name *.htm* -o -name *.php* -o -name *.inc* \)
-exec grep -liH /htmliframe src= {} \;logfile
Nem a kódba írnak bele, hanem a törés minden site-ot érint (azért
lefuttatom). Apache restart mindig megoldja ideiglenesen a problémát 1-2
óráig.
Üdv,
Igor
_
linux lista - linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
hello, Természetesen megszerezhettek ftp logint is, rengeteg user van. ftp logot megnézted már, hátha találsz ott is valami releváns infot... Directory /var/www/domain.tld IfModule mod_php5.c php_admin_value open_basedir /var/www/domain.tld:/tmp /IfModule /Directory ez akar jo is lehet, de fileupload-dal (vagy ftp-vel) siman fel tudjak tolteni a szukseges programokat. portokon figyelnek meg a www-data user altal futtatott processzek. netstat -antup nekem nem ad vissza usereket. igen, ezt beneztem, bocs (bar a man irja...) Megneznem meg a fileok modositasanak datumat, mik modosultak a tores elotti par napban - de lehet, hogy erre is gondoltak. Ha shellt tudnak inditani, valszeg' mashoz is hozzafernek. Ill keress file feltoltest kezelo PHP kodot a vhosztok kozott. Ez nem megoldható, sokszázas nagyságrendű vhostról van szó, nincs rá emeberi erőforrás aki átnézze. man find, pl find /path/to/httpdocroot -mtime -2 -type f remelhetoleg a logok nem itt vannak :) aztan man grep, es grep -r \$_FILE /path/to/httpdocroot egybol informacioval halmoz el... a. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
Medovárszky Zoltán wrote:
2009.05.14. 10:14 keltezéssel, Gabor HALASZ írta:
Valoszinuleg valamelyik virtualhostot piszkaljak, siman felulirjak ftp-n
keresztul a tartalmat a kedves userek feltort geperol szarmazo
jelszoval. Kapcsold le az ftp-t, a userek csak scp-vel frissitsenek, azt
lehet mod_chroot-tal megtamogatni, es csak kulccsal, nem jelszoval.
Ez sajnos nem megoldható, sok az átlagos buta user, akiktől még az ftp
használata is nagy teljesítmény.
winscpvel csak elboldogul, ha ftpzni tud.
Hasonlo problemaval kuzdo cimbora otlete:
find /var/www \( -name *.htm* -o -name *.php* -o -name *.inc* \)
-exec grep -liH base64_decode( {} \;logfile
find /var/www \( -name *.htm* -o -name *.php* -o -name *.inc* \)
-exec grep -liH String.fromCharCode {} \;logfile
find /var/www \( -name *.htm* -o -name *.php* -o -name *.inc* \)
-exec grep -liH /htmliframe src= {} \;logfile
Nem a kódba írnak bele, hanem a törés minden site-ot érint (azért
lefuttatom).
Akkor felesleges
Apache restart mindig megoldja ideiglenesen a problémát 1-2
óráig.
AjveEz valoban rosszul hangzik, es nem a szokasos kod injection,
amirol beszelunk neked. Milyen apache? Milyen disztribucio? Ezek
megvoltak: http://httpd.apache.org/docs/2.0/misc/security_tips.html? Az
apache userenek mi a shellje? Csinalj chrottban egy komplett
installaciot valami tiszta forrasbol (akar masik gepen) es futtasd abban
az apacheot.
--
Gabor HALASZ halas...@freemail.hu
_
linux lista - linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
On Thu, 14 May 2009, [ISO-8859-2] Medovárszky Zoltán wrote: jonnek be? FTP hozzaferes nincs, amit megszereztek? Természetesen megszerezhettek ftp logint is, rengeteg user van. Elvi kerdes: ha nem jelszo, hanem RSA kulcs auth van (es ftp helyett winscp), akkor azt nehezebben szerzik meg? Udv, -=Lajbi=- LAJBER ZoltanSzent Istvan Egyetem, Informatika Hivatal HTH=Hope This Helps, YMMV=Your Mileage May Vary, HAND=Have A Nice Day _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
Lajber Zoltan írta: On Thu, 14 May 2009, [ISO-8859-2] Medovárszky Zoltán wrote: jonnek be? FTP hozzaferes nincs, amit megszereztek? Természetesen megszerezhettek ftp logint is, rengeteg user van. Elvi kerdes: ha nem jelszo, hanem RSA kulcs auth van (es ftp helyett winscp), akkor azt nehezebben szerzik meg? Ha _csak_ abból indulunk ki, hogy az FTP plaintext, az ssh meg encrypted, akkor igen. Ha meg abból, hogy melyik, milyen biztonsági rést tartalmaz, amin keresztül be lehet jutni, akkor minden szerviz törhető. Mindazonáltal FTP esetén lehet kísérletezni jobban/könnyebben. Nem ritka a www.cegnev.hu oldal eléréséhez szükséges usernévnél a cegnev használata, és mellé természetesen a cegnev a jelszo is. Szóval FTP esetén még az emberi hülyeség is komoly sechole. Nálunk pl. (pont ezek miatt) a hostolt oldalak fájlszintű elérése a user számára egy VPN login, és utána samba share használatával lehetséges. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
Lajber Zoltan wrote: On Thu, 14 May 2009, [ISO-8859-2] Medovárszky Zoltán wrote: jonnek be? FTP hozzaferes nincs, amit megszereztek? Természetesen megszerezhettek ftp logint is, rengeteg user van. Elvi kerdes: ha nem jelszo, hanem RSA kulcs auth van (es ftp helyett winscp), akkor azt nehezebben szerzik meg? Egyreszt az rsa kulcsot lehet passprhase-sal vedeni, masreszt imho nem nagyon keresik, leven a nagy tobbseg ugyis passwordot hasznal. -- Gabor HALASZ halas...@freemail.hu _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
2009.05.14. 10:25 keltezéssel, Erdelyi Gabor írta: Nem az apache-ot, hanem valamelyik webet zuzzak. mod_security, disable_functions (exec es tarsai) Plusz noexec mount es ha lehet, ne legyen a www-datanak irasjoga a webes cuccra. mod_security igéretesnek tűnik. Rulesetjeivel mi a tapasztalatod. Nem lenne jobb inkább psad? Az nem csak az apache-ot védené. Snort sourcefire szabályok felé hajlok inkább, de lehet, hogy semmi alapja. Üdv, Igor _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
Gabor HALASZ halas...@freemail.hu írta, 2009.05.14.: Lajber Zoltan wrote: [...] Elvi kerdes: ha nem jelszo, hanem RSA kulcs auth van (es ftp helyett winscp), akkor azt nehezebben szerzik meg? Egyreszt az rsa kulcsot lehet passprhase-sal vedeni, Amit egy keylogger megfoghat... masreszt imho nem nagyon keresik, leven a nagy tobbseg ugyis passwordot hasznal. Ez mondjuk igaz. Nem a legbiztonságosabb megoldás kell, csak a szomszédnál legyen biztonságosabb, hogy őt törjék... _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
Medovárszky Zoltán l...@igor.hu írta, 2009.05.14.: Szevasztok! Több napja küzdök egy problémával, de szakértelmem hiányában nem tudom megoldani. 1-2 óránként megtörik az apache daemont, ami ezután időnként üres oldlakat szolgál ki illetve egy trójai kódot tartalmazó oldalra irányít. Eleinte néhány tcsh processt láttam www-data userrel, most már httpd-ből van néhány gyanús process. Apache, php a legfrissebb, open basedir van minden virtualhoston. Snort logom van kérdéses időpontból, de ez még nem segít megtalálnom a biztonsági rést. Hogyan induljak neki? Nincs 200eFt-m most megbízni egy szakértőt, de természetesen tudok rá pénzt is szánni. Szerintem egy teljesen új install és az összes jelszó és kulcs megváltoztatása nélkül minden más csak dísz... _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
Attila Rajmund Nohl wrote: Gabor HALASZ halas...@freemail.hu írta, 2009.05.14.: Lajber Zoltan wrote: [...] Elvi kerdes: ha nem jelszo, hanem RSA kulcs auth van (es ftp helyett winscp), akkor azt nehezebben szerzik meg? Egyreszt az rsa kulcsot lehet passprhase-sal vedeni, Amit egy keylogger megfoghat... Igen, de mire megy vele? A keylogger nem tudja, mire jo, a bot vegigprobalja vele az accountokat, aztan vege. Amikor nincs fizikai kontroll a kliensek felett, nagyon nehez korrekt vedelmet kialakitani, altalaban kell valami fizikai kiegeszito, token, smartcard, password kalkulator, de nem kell tulzasba esni, eleg, ha a legelterjedtebb botok nem tudjak kezelni. A human attack ellen nincs orvossag. masreszt imho nem nagyon keresik, leven a nagy tobbseg ugyis passwordot hasznal. Ez mondjuk igaz. Nem a legbiztonságosabb megoldás kell, csak a szomszédnál legyen biztonságosabb, hogy őt törjék... Pontosan. Csak addig kell eljutni, hogy a standard botok ne boldoguljanak vele, igy barmilyen, nem standard megoldas jo lehet. Arra is gondoltam mar, hogy az ftp login utan egy egszeru kerdest kell meg megvalaszoltatni a userrrel, pl 1 + 1 = es hasonlok. Vagy ha minden felhasznalo magyar nyelvu, akkor barmit lehet kerdezni -- Gabor HALASZ halas...@freemail.hu _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
2009.05.14. 11:16 keltezéssel, Gabor HALASZ írta: winscpvel csak elboldogul, ha ftpzni tud. Amikor arra a kérdésre, hogy milyen e-mail klienst használ az a válasz: Hát duplán kattintok, akkor nincs sok remény. Próbálom inkább a meglévő rendszert biztonságossá tenni, minthogy a felhasználókra erőszakoljak valamit. AjveEz valoban rosszul hangzik, es nem a szokasos kod injection, amirol beszelunk neked. Milyen apache? Milyen disztribucio? Ezek megvoltak: http://httpd.apache.org/docs/2.0/misc/security_tips.html? Az apache userenek mi a shellje? Csinalj chrottban egy komplett installaciot valami tiszta forrasbol (akar masik gepen) es futtasd abban az apacheot. Apache 2.2.11, csak a szükséges modulokkal. Distrib debian etch Security tips-ben javallotakat megcsináltam. Üdv, Igor _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
2009.05.14. 13:22 keltezéssel, Gabor HALASZ írta: Igen, de mire megy vele? A keylogger nem tudja, mire jo, a bot vegigprobalja vele az accountokat, aztan vege. Amikor nincs fizikai kontroll a kliensek felett, nagyon nehez korrekt vedelmet kialakitani, altalaban kell valami fizikai kiegeszito, token, smartcard, password kalkulator, de nem kell tulzasba esni, eleg, ha a legelterjedtebb botok nem tudjak kezelni. A human attack ellen nincs orvossag. Egyetértek. De a human attack ellen semmire nem megyek az erős authentikációval, ha maga a szolgáltatásban van a hiba. Hiba meg mindig lesz. Feltettem az apache mod_security-t, kíváncsi vagyok mire jut. Már több hónapja ott hever a polcomon a psad+fwsnort doksi, úgy látszik eljött az ideje, hogy átnyálazzam azt a 300 oldalt :) Üdv, Igor _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
Medovárszky Zoltán wrote: Apache 2.2.11, csak a szükséges modulokkal. Distrib debian etch Melyik kernel van benne? Udev nem fut, ugye? Security tips-ben javallotakat megcsináltam. Attol tartok, hogy nullarol ujrainstall lesz a megoldas. netstat -nlp kimenetet alaposan nezegesd at. Mindenkeppen cserelj kernelt, lehetoleg modultalanra. Senkinek ne legyen futtathato shellje a gepen. -- Gabor HALASZ halas...@freemail.hu _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: apache hack
2009.05.14. 16:11 keltezéssel, Gabor HALASZ írta: Melyik kernel van benne? Udev nem fut, ugye? 2.6.18-6-amd64 De igen, udevd fut. Attol tartok, hogy nullarol ujrainstall lesz a megoldas. netstat -nlp kimenetet alaposan nezegesd at. Mindenkeppen cserelj kernelt, lehetoleg modultalanra. Senkinek ne legyen futtathato shellje a gepen. Nem akarom elkiabálni, de mod_security úgy néz ki megoldotta. Reggelre kiderül. Üdv, Igor _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
