Kako otkriti kako je neko provalio u sajt

ivanhoe · 18. 03. 2008.

mislim da cvele prica o tome da apache mora da ima pristup tim fajlovima, a to znaci da svaki korisnik moze svojim skriptama (koje izvrsava apache) da menja tudje fajlove..

Vace · 18. 03. 2008.

Citat:

Originalno napisao ivanhoe

mislim da cvele prica o tome da apache mora da ima pristup tim fajlovima, a to znaci da svaki korisnik moze svojim skriptama (koje izvrsava apache) da menja tudje fajlove..

Netacno.

Saki korisnik je 'owner' svojih file-ove i samo ih on moze menjati. Apache ili bilo koja scripta koja radi na web serveru ne moze menjati ove file-ove jer web server radi kao user httpd.

Problem nastaje sa korisnicima koji odredjenim folderima setuju permissions 777 i time dozvole upis/editovanje file-ova scriptama sa web servera.

ivanhoe · 18. 03. 2008.

Ajd posto ste krenuli da mi drzite vakelu, da se "preciznijem izrazim":

Problem 1: Bilo koji web sajt koji ima cache ili menja neke fajlove (tokom instalacije, snima config fajlove, menja .htaccess), mora da da apachu +w privilegiju na tom diru/fajlu (obicno se user apache doda u user group). To automatski znaci da svaki korisnik moze da pise tamo. Ovo izmedju ostalog pogadja vecinu Wordpress konfiguracija sa default setinzima i ukljucenim cachom (sto mislim da vise nije po defaultu, ali bilo je dugo vremena)..

Problem 2: U setupu koji ne ukljucuje chroot, apache mora da ima read pristup svim fajlovima koji se koriste iz php-a, sto znaci da svaki korisnik na sistemu moze da procita koj vam je sifra za DB, samo ako zna gde da pogleda

Na sistemima sa vise korisnika chroot je obavezna stvar, to je bila poenta...

cvele · 18. 03. 2008.

posto me vecina nije razumela, vako

PHP se moze postaviti na dva osnovna nacina, kao modul i kao cgi (posle dolaze razne varijacije na temu...fast cgi isl). Kada je php instaliran kao modul Apache je vlasnik falova i on ih izvrsava.
Kada je php instaliran kao cgi, khm sad dodje deo u kome cu morati da se potrudim da nekoga ne uvredim

... Korisnik koji je vlasnik fajla izvrsava php skript, apache nema nista sa time (nikakav read ili write, vec samo fizicki sistemski korisnik). CGI ima jos jednu zackolicu

a to je da php fajlovi, da bi se mogli izvrsiti, moraju imati permisije (max) 644, a folderi 755, u suprotnom dobices jedan lep http ISE 500.

Sad, tvoja situacija je verovatno vaka:
PHP instaliran kao modul, korisnici su vlasnici svojih fajlova ali fajlovi imaju perimisije setovane tako da svi mogu da ih citaju i izvrsavaju. Samim tim ti dozvoljavas svima da citaju tudje falove prostim include.

Ako vec kazes da *nemozes* da chrootujes korisnike (sto se rucno da iz shell-a uraditi za koji min, cak je bc ostavljao neki bash skript za to na starom default sajtu), onda setuj php da radi u safe mode i lisices sebe nepotrebnih glavobolja.

tol'ko

andrejpav · 19. 03. 2008.

Mozes da namestis mod_security Apache modulu, pa da pregledas te logove.

Drugo vidi u koje vreme su brisani podatci iz baze. To bi trebao da mozes da vidis u query log-u. Onda pogledaj apache access logs i vidi koji su IP-evi bili aktivni u to vreme pa mozda mozes barem te IP-eve da blokiras privremeno.

Na kraju ako imas te IP-eve, mozes da pogledas na kojim su sve stranicama bili i mozda ces moci da provalis kojim putem upadnu u tvoj server.

18. 03. 2008.	#1
ivanhoe Ivan Dilber Sir Write-a-Lot Datum učlanjenja: 18.10.2005 Lokacija: Bgd Poruke: 5.320 Hvala: 104 2.344 "Hvala" u 583 poruka	mislim da cvele prica o tome da apache mora da ima pristup tim fajlovima, a to znaci da svaki korisnik moze svojim skriptama (koje izvrsava apache) da menja tudje fajlove.. __________________ Leadership is the art of getting people to want to do what you know must be done.

18. 03. 2008.	#3
ivanhoe Ivan Dilber Sir Write-a-Lot Datum učlanjenja: 18.10.2005 Lokacija: Bgd Poruke: 5.320 Hvala: 104 2.344 "Hvala" u 583 poruka	Ajd posto ste krenuli da mi drzite vakelu, da se "preciznijem izrazim": Problem 1: Bilo koji web sajt koji ima cache ili menja neke fajlove (tokom instalacije, snima config fajlove, menja .htaccess), mora da da apachu +w privilegiju na tom diru/fajlu (obicno se user apache doda u user group). To automatski znaci da svaki korisnik moze da pise tamo. Ovo izmedju ostalog pogadja vecinu Wordpress konfiguracija sa default setinzima i ukljucenim cachom (sto mislim da vise nije po defaultu, ali bilo je dugo vremena).. Problem 2: U setupu koji ne ukljucuje chroot, apache mora da ima read pristup svim fajlovima koji se koriste iz php-a, sto znaci da svaki korisnik na sistemu moze da procita koj vam je sifra za DB, samo ako zna gde da pogleda Na sistemima sa vise korisnika chroot je obavezna stvar, to je bila poenta... __________________ Leadership is the art of getting people to want to do what you know must be done. Poslednja izmena od ivanhoe : 18. 03. 2008. u 19:47.

19. 03. 2008.	#5
andrejpav novi član Na probnom radu Datum učlanjenja: 29.10.2007 Lokacija: Toronto Poruke: 19 Hvala: 1 1 "Hvala" u 1 poruci	Mozes da namestis mod_security Apache modulu, pa da pregledas te logove. Drugo vidi u koje vreme su brisani podatci iz baze. To bi trebao da mozes da vidis u query log-u. Onda pogledaj apache access logs i vidi koji su IP-evi bili aktivni u to vreme pa mozda mozes barem te IP-eve da blokiras privremeno. Na kraju ako imas te IP-eve, mozes da pogledas na kojim su sve stranicama bili i mozda ces moci da provalis kojim putem upadnu u tvoj server. Poslednja izmena od andrejpav : 19. 03. 2008. u 16:37.

Slične teme
Tema	Početna poruka teme	Forum	Odgovori	Poslednja poruka
Kako prebaciti sajt na https ?	misko_	Web Hosting, web serveri i operativni sistemi	14	16. 02. 2010. 19:50
Kako razdrmati sajt :)	twix	Opušteno	2	30. 08. 2009. 20:33
Kako kazu, unapredjen sajt	jasmanac	Web site, dizajn i multimedia	12	23. 05. 2008. 00:29
Kako koristiti ovaj sajt?	Miloje Sekulic	Planiranje i usability	15	22. 03. 2006. 10:20
Kako promovisete novi web sajt?	shoba	Marketing i SEO	8	23. 09. 2005. 09:28

18. 03. 2008.	#4
cvele Banned Knowledge base Datum učlanjenja: 01.07.2005 Poruke: 1.598 Hvala: 206 140 "Hvala" u 89 poruka	posto me vecina nije razumela, vako PHP se moze postaviti na dva osnovna nacina, kao modul i kao cgi (posle dolaze razne varijacije na temu...fast cgi isl). Kada je php instaliran kao modul Apache je vlasnik falova i on ih izvrsava. Kada je php instaliran kao cgi, khm sad dodje deo u kome cu morati da se potrudim da nekoga ne uvredim ... Korisnik koji je vlasnik fajla izvrsava php skript, apache nema nista sa time (nikakav read ili write, vec samo fizicki sistemski korisnik). CGI ima jos jednu zackolicu a to je da php fajlovi, da bi se mogli izvrsiti, moraju imati permisije (max) 644, a folderi 755, u suprotnom dobices jedan lep http ISE 500. Sad, tvoja situacija je verovatno vaka: PHP instaliran kao modul, korisnici su vlasnici svojih fajlova ali fajlovi imaju perimisije setovane tako da svi mogu da ih citaju i izvrsavaju. Samim tim ti dozvoljavas svima da citaju tudje falove prostim include. Ako vec kazes da nemozes da chrootujes korisnike (sto se rucno da iz shell-a uraditi za koji min, cak je bc ostavljao neki bash skript za to na starom default sajtu), onda setuj php da radi u safe mode i lisices sebe nepotrebnih glavobolja. tol'ko