DevProTalk
Strana 4 od 5 < 123 4 5 >
Prikažite 40 poruka iz ove teme na jednoj stani

DevProTalk (http://www.devprotalk.com/index.php)
-   Web Hosting, web serveri i operativni sistemi (http://www.devprotalk.com/forumdisplay.php?f=11)
-   -   Kako otkriti kako je neko provalio u sajt (http://www.devprotalk.com/showthread.php?t=4798)

ivanhoe 18. 03. 2008. 19:42
Ajd posto ste krenuli da mi drzite vakelu, da se "preciznijem izrazim":

Problem 1: Bilo koji web sajt koji ima cache ili menja neke fajlove (tokom instalacije, snima config fajlove, menja .htaccess), mora da da apachu +w privilegiju na tom diru/fajlu (obicno se user apache doda u user group). To automatski znaci da svaki korisnik moze da pise tamo. Ovo izmedju ostalog pogadja vecinu Wordpress konfiguracija sa default setinzima i ukljucenim cachom (sto mislim da vise nije po defaultu, ali bilo je dugo vremena)..

Problem 2: U setupu koji ne ukljucuje chroot, apache mora da ima read pristup svim fajlovima koji se koriste iz php-a, sto znaci da svaki korisnik na sistemu moze da procita koj vam je sifra za DB, samo ako zna gde da pogleda

Na sistemima sa vise korisnika chroot je obavezna stvar, to je bila poenta...

cvele 18. 03. 2008. 19:54
posto me vecina nije razumela, vako :)

PHP se moze postaviti na dva osnovna nacina, kao modul i kao cgi (posle dolaze razne varijacije na temu...fast cgi isl). Kada je php instaliran kao modul Apache je vlasnik falova i on ih izvrsava.
Kada je php instaliran kao cgi, khm sad dodje deo u kome cu morati da se potrudim da nekoga ne uvredim :D... Korisnik koji je vlasnik fajla izvrsava php skript, apache nema nista sa time (nikakav read ili write, vec samo fizicki sistemski korisnik). CGI ima jos jednu zackolicu :) a to je da php fajlovi, da bi se mogli izvrsiti, moraju imati permisije (max) 644, a folderi 755, u suprotnom dobices jedan lep http ISE 500.

Sad, tvoja situacija je verovatno vaka:
PHP instaliran kao modul, korisnici su vlasnici svojih fajlova ali fajlovi imaju perimisije setovane tako da svi mogu da ih citaju i izvrsavaju. Samim tim ti dozvoljavas svima da citaju tudje falove prostim include.

Ako vec kazes da *nemozes* da chrootujes korisnike (sto se rucno da iz shell-a uraditi za koji min, cak je bc ostavljao neki bash skript za to na starom default sajtu), onda setuj php da radi u safe mode i lisices sebe nepotrebnih glavobolja.

tol'ko

andrejpav 19. 03. 2008. 16:34
Mozes da namestis mod_security Apache modulu, pa da pregledas te logove.

Drugo vidi u koje vreme su brisani podatci iz baze. To bi trebao da mozes da vidis u query log-u. Onda pogledaj apache access logs i vidi koji su IP-evi bili aktivni u to vreme pa mozda mozes barem te IP-eve da blokiras privremeno.

Na kraju ako imas te IP-eve, mozes da pogledas na kojim su sve stranicama bili i mozda ces moci da provalis kojim putem upadnu u tvoj server.

bofh 20. 03. 2008. 11:18
slepo nagađanje i bockanje šta-bi-bilo-kada-bih-mogao-trt-mrt je totalno pointless.

nazovi tehničku podršku provajdera gde hostuješ sajt i traži im da urade istragu povodom upada na isti.

ne vidim zašto bi se smarao (grepovao-jebao-skenirao) kada to može da uradi neko drugi za tebe (a još je i plaćen za to)

što se tiče sigurnosti php-a i ostalih sranja vezano za njegov security (server side)....... pa gospodo php je jedan od najpopularnijih i najjednostavnijih (!!!lol!) skripting jezika out there. popularnost ide sa podilaženjem korisnicima istog.
a to je obrnuto proporcionalno tamo nekakvoj sigurnosti i dizajnerskom konceptu.

http://www.bitstorm.org/edwin/en/php/

nixa 20. 03. 2008. 13:42
^ a zar ne vidis da je server u njegovom vlasnistvu i to "sta-bi-bilo-trt-mrt" njemu treba i nikome drugom

cvele 20. 03. 2008. 14:41
da je u njegovom vlasnistvu ne bi imao ogranicenje zvano "neki tamo cp" :)
bar meni tako deluje

Aleksandar.Ilic 21. 03. 2008. 00:31
server jeste moj, ceo :). A CP mi pravi problem jer i nisam bas neki extra strucnjak za administraciju, i nisam bas rad da kastomizujem sam CP, jer je posle nezgodno kad radim update.
Javio se jedan od clanova foruma da mi licno pomogne, pa se nadam da cemo nesto navatati.

Cvele, jel imas lepo uputstvo za chroot apache-a? PHP ne zelim da prebacujem u safe mod, taj server meni sluzi za moje projekte, i uzasno me nervira safe mod.

LiquidBrain 21. 03. 2008. 12:42
Shto se tiche apache chroot-a ovde imash uputstvo: http://www.linux.com/feature/36331
ali to nece da pomogne u ovoj situaciji jer tebi nije sam httpd daemon kompromisovan vec neka od aplikacija...

cvele 21. 03. 2008. 14:33
zasto mislis da mu je neka aplikacija kompromitovana? mozda jednostavno covek ima interes da ceprka po toj aplikaciji... a da je dosao do pristupa preko mysql lozinke... ima hiljadu scenarija.

btw chroot ce spreciti razne korisnike servera da izlaze iz svog prostora i onemoguciti ih da ceprkaju po drugim fajlovima

cvele 21. 03. 2008. 14:35
eve izvukoh iz naftalina nesh:
Citat:
Originalno napisao bofh
Ok, this was and still is hell to setup in real circumstances.
Main goal is to restrict users to their home directory, making them as less as possible dangerous for system security.

The idea is coming from standard chroot(8) command:
Kôd:
/usr/sbin/chroot /d1/chroot /bin/bash
Now we have a start. However we cannot use /d1/chroot directory for all users, we want to chroot them in their own directory. So we need to substitute /d1/chroot with user's home dir, for example if we want to chroot user "mohican" we're getting to this:
Kôd:
/usr/sbin/chroot /home/users/mohican /bin/bash
Ok, this is for only one user. To automaticaly chroot user "mohican" to his own home dir we put that in a shell script to look something like this:
Kôd:
slash:~# cat /usr/local/bin/chrootsh
#!/bin/sh
exec usr/sbin/chroot /home/users/mohican /bin/bash
Now we can register that /usr/local/bin/chrootsh in global shells file /etc/shells.
So, mohican dude is chrooted, but hey, why not chroot and the others?


Vreme je GMT +2. Trenutno vreme je 03:23.
Strana 4 od 5 < 123 4 5 >
Prikažite 40 poruka iz ove teme na jednoj stani

Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.

Mišljenja, saveti, izjave, ponude ili druge informacije ili sadržaji nastali na Sajtu su vlasništvo onoga ko ih je kreirao, a ne DevProTalk.com, tako da ne morate da se oslanjate na njih.
Autori poruka su jedini odgovorni za ovakve sadržaje. DevProTalk.com ne garantuje tačnost, kompletnost ili upotrebnu vrednost informacija, stavova, saveta ili datih izjava. Ne postoje uslovi pod kojima bi mi bili odgovorni za štetu ili gubitak koji je posledica bilo čijeg oslanjanja na nepouzdane informacije, ili bilo kakve informacije nastale kroz komunikaciju između registrovanih članova.
Web sajt može sadržavati linkove na druge web sajtove na Internetu ili neke druge sadržaje. Ne kontrolišemo niti podržavamo te druge web sajtove, niti smo pregledali bilo kakve sadržaje na takvim sajtovima. Mi nećemo biti odgovorni za legalnost, tačnost ili prikladnost bilo kog sadržaja, oglasa, proizvoda, usluga ili informacije lociranim na ili distribuiranih kroz druge web sajtove, niti za bilo kakvu štetu nastalu kao posledica takvih informacija. DevProTalk.com drži i čuva druga prava vlasništva na web sajtu. Web sajt sadrže materijale zaštićene copyright-om, zaštitne znakove i druge informacije o pravu vlasništva ili softver. Članovi mogu poslatu informacije zaštićene pravima vlasništva njihovih nosilaca i ona ostaju zaštićena bez obzira da li su oni koji prenose te informacije to naveli ili ne. Osim informacija koje su u javnom vlasništvu ili za koje dobijete dozvolu, nemate pravo da kopirate, modifikujete ili na bilo koji način menjate, objavljujete, prenosite, distribuirate, izvršavate, prikazujete ili prodajte bilo koju informaciju zaštićenu pravima vlasništva. Slanjem informacija ili sadržaja na bilo koji deo DevProTalk.com, Vi automatski dozvoljavate i predstavljate garanciju da imate pravo da dozvolite DevProTalk.com ili članovima DevProTalk.com bespovratnu, kontinualnu, neograničenu, globalnu dozvolu da koriste, kopiraju, izvršavaju, prikazuju i distribuiraju takve informacije i sadržaje i da iz takvih sadžaja koriste bilo koji deo u bilo koje svrhe, kao i pravo i dozvolu da koriste gore navedene sadržaje. Svi zaštitni znakovi (trademarks), logotipi, oznake usluga, firme ili imena proizvoda koji se pominju na ovom web sajtu su vlasništvo kojim raspolažu njihovi vlasnici.