|
Web Hosting, web serveri i operativni sistemi Komercijalni hosting, web serveri, bezbednost, operativni sistemi na serverima |
|
Alati teme | Način prikaza |
|
17. 03. 2008. | #1 |
old school
Expert
Datum učlanjenja: 29.04.2006
Poruke: 464
Hvala: 39
48 "Hvala" u 28 poruka
|
Gresis U HSphere svaki korisnik se kreira kao systemski korisnik i svi njegovi domeni su njegovo vlasnistvo. Tako da nijedan korisnik ne moze da cacka tudje fajlove, sem ako tudji fajlovi nemaju pogresne dozvole... a to mi se mnogo cesto desava jer korisnici ne znaju mnogo toga
|
17. 03. 2008. | #2 |
član
Na probnom radu
Datum učlanjenja: 06.11.2007
Poruke: 38
Hvala: 1
0 "Hvala" u 0 poruka
|
Malo je nezgodno jer svi mi ovde više manje pogađamo šta bi moglo da bude a - da se razumemo - može da bude sve i svašta.
Ja sam godinu dana bio administrator za jedan američki datacentar i na svakih 10-15 dana sam radio to što ti radiš sada. I skoro svaki put je bilo drugačije. Prvo pusti rkhunter da odradi svoje pa čitaj šta će da ti kaže. Ako je haker bio pravi i ubacio svoje fajlove, može lako da se desi da ćeš morati da uzmeš drugi server. Ja sam to imao u 10-15% slučajeva. Onda pregledaj log file-ove za sve korisnike. Ne mislim ručno, ali možeš da grepuješ sve log file-ove samo jednom komandom ... sve zavisi od putanje do korisničkih naloga. Pregledaj i sve log file-ove koje ti generiše HSphere. Traži gde se pojavljuje znak % ili tgz, pa ako imaš sreće isplivaće na videlo. Proveri sve user-e na serveru koji imaju ssh ili ftp pristup. Pogledaj .bash_history file-ove da vidiš šta je ko radio na serveru. Pogledaj ko se sve i odakle logovao. Redovno proveravaj server load, aktivne procese i konekcije na serveru. ... Narodski rečeno, ima da rodiš mečku ako ti je to prvi put da juriš hakera sa komandne linije. Moj server je isto pod HSphere kontrolnim panelom tako da znam šta pričam. Uostalom, jesi li pokušao da kontaktiraš admina u datacentru ? Ako ti je HSphere-a legalna, možeš da kontaktiraš i njih (nekad PSoft pa Comodo pa Parallel) i zatražiš pomoć. |
17. 03. 2008. | #3 |
Nikola Denić
Sir Write-a-Lot
|
^ spank !
__________________
Do not ask yourself what the world needs. Ask yourself what makes you come alive, and then go do that. Because what the world needs is people who have come alive |
18. 03. 2008. | #4 |
Ivan Dilber
Sir Write-a-Lot
|
mislim da cvele prica o tome da apache mora da ima pristup tim fajlovima, a to znaci da svaki korisnik moze svojim skriptama (koje izvrsava apache) da menja tudje fajlove..
__________________
Leadership is the art of getting people to want to do what you know must be done. |
18. 03. 2008. | #5 | |
član
Na probnom radu
Datum učlanjenja: 06.11.2007
Poruke: 38
Hvala: 1
0 "Hvala" u 0 poruka
|
Citat:
Saki korisnik je 'owner' svojih file-ove i samo ih on moze menjati. Apache ili bilo koja scripta koja radi na web serveru ne moze menjati ove file-ove jer web server radi kao user httpd. Problem nastaje sa korisnicima koji odredjenim folderima setuju permissions 777 i time dozvole upis/editovanje file-ova scriptama sa web servera. |
|
18. 03. 2008. | #6 |
Ivan Dilber
Sir Write-a-Lot
|
Ajd posto ste krenuli da mi drzite vakelu, da se "preciznijem izrazim":
Problem 1: Bilo koji web sajt koji ima cache ili menja neke fajlove (tokom instalacije, snima config fajlove, menja .htaccess), mora da da apachu +w privilegiju na tom diru/fajlu (obicno se user apache doda u user group). To automatski znaci da svaki korisnik moze da pise tamo. Ovo izmedju ostalog pogadja vecinu Wordpress konfiguracija sa default setinzima i ukljucenim cachom (sto mislim da vise nije po defaultu, ali bilo je dugo vremena).. Problem 2: U setupu koji ne ukljucuje chroot, apache mora da ima read pristup svim fajlovima koji se koriste iz php-a, sto znaci da svaki korisnik na sistemu moze da procita koj vam je sifra za DB, samo ako zna gde da pogleda Na sistemima sa vise korisnika chroot je obavezna stvar, to je bila poenta...
__________________
Leadership is the art of getting people to want to do what you know must be done. Poslednja izmena od ivanhoe : 18. 03. 2008. u 19:47. |
18. 03. 2008. | #7 |
Banned
Knowledge base
Datum učlanjenja: 01.07.2005
Poruke: 1.598
Hvala: 206
140 "Hvala" u 89 poruka
|
posto me vecina nije razumela, vako
PHP se moze postaviti na dva osnovna nacina, kao modul i kao cgi (posle dolaze razne varijacije na temu...fast cgi isl). Kada je php instaliran kao modul Apache je vlasnik falova i on ih izvrsava. Kada je php instaliran kao cgi, khm sad dodje deo u kome cu morati da se potrudim da nekoga ne uvredim ... Korisnik koji je vlasnik fajla izvrsava php skript, apache nema nista sa time (nikakav read ili write, vec samo fizicki sistemski korisnik). CGI ima jos jednu zackolicu a to je da php fajlovi, da bi se mogli izvrsiti, moraju imati permisije (max) 644, a folderi 755, u suprotnom dobices jedan lep http ISE 500. Sad, tvoja situacija je verovatno vaka: PHP instaliran kao modul, korisnici su vlasnici svojih fajlova ali fajlovi imaju perimisije setovane tako da svi mogu da ih citaju i izvrsavaju. Samim tim ti dozvoljavas svima da citaju tudje falove prostim include. Ako vec kazes da *nemozes* da chrootujes korisnike (sto se rucno da iz shell-a uraditi za koji min, cak je bc ostavljao neki bash skript za to na starom default sajtu), onda setuj php da radi u safe mode i lisices sebe nepotrebnih glavobolja. tol'ko |
19. 03. 2008. | #8 |
novi član
Na probnom radu
Datum učlanjenja: 29.10.2007
Lokacija: Toronto
Poruke: 19
Hvala: 1
1 "Hvala" u 1 poruci
|
Mozes da namestis mod_security Apache modulu, pa da pregledas te logove.
Drugo vidi u koje vreme su brisani podatci iz baze. To bi trebao da mozes da vidis u query log-u. Onda pogledaj apache access logs i vidi koji su IP-evi bili aktivni u to vreme pa mozda mozes barem te IP-eve da blokiras privremeno. Na kraju ako imas te IP-eve, mozes da pogledas na kojim su sve stranicama bili i mozda ces moci da provalis kojim putem upadnu u tvoj server. Poslednja izmena od andrejpav : 19. 03. 2008. u 16:37. |
18. 03. 2008. | #9 |
old school
Expert
Datum učlanjenja: 29.04.2006
Poruke: 464
Hvala: 39
48 "Hvala" u 28 poruka
|
mora da ima read pristup, ne i write...
A kod mene je najverovatnije i jeste slucaj da negde postoje write privilegije. Ja sam vec navatao jedan propust kroz logove, ali ima jos negde jer su mi skoro hakovali jedan SMF. Inace imam rkhunter i logwatch koji rade, mada je skoro svaki put neki drugi haker u pitanju, tako da sumljam da mi je provaljen sam OS. Niko sem root-a i jos jednog sistemskog naloga nema shell. A izgleda cu morati da pravim skriptu za parsiranje logova , jer su za svaki domen na razlicitim lokacijama. |
18. 03. 2008. | #10 | |
član
Na probnom radu
Datum učlanjenja: 06.11.2007
Poruke: 38
Hvala: 1
0 "Hvala" u 0 poruka
|
Citat:
Kôd:
/hsphere/local/home/{user}/logs/{domain}/ Kôd:
grep "neki_text" /hsphere/local/home/*/logs/*/* |
|
|
|
Slične teme | ||||
Tema | Početna poruka teme | Forum | Odgovori | Poslednja poruka |
Kako prebaciti sajt na https ? | misko_ | Web Hosting, web serveri i operativni sistemi | 14 | 16. 02. 2010. 19:50 |
Kako razdrmati sajt :) | twix | Opušteno | 2 | 30. 08. 2009. 20:33 |
Kako kazu, unapredjen sajt | jasmanac | Web site, dizajn i multimedia | 12 | 23. 05. 2008. 00:29 |
Kako koristiti ovaj sajt? | Miloje Sekulic | Planiranje i usability | 15 | 22. 03. 2006. 10:20 |
Kako promovisete novi web sajt? | shoba | Marketing i SEO | 8 | 23. 09. 2005. 09:28 |