Zabezpieczenie serwera przed ''hackerami''

[Gość kucziapa]

Witam

 

Mam taki problem jak mogę zabezpieczyć serwer dedykowany bo wczoraj na gg odezwał się do mnie typ i napisał ze serwer dziurawy jak ser

i podał takie coś

 

maestro:x:1006:1007:home/maestrobin/false

memo:x:1007:1008:home/memobin/false

clamav:x:111:110:var/lib/clamavbin/false

topsnetr:x:1008:1009:home/topsnetrbin/false

autoseba:x:1010:1011:home/autosebabin/false

dajfoto:x:1011:1012:home/dajfotobin/false

tdr:x:1012:1013:home/tdrbin/false

 

Na serwerze mam DA i Debiana

[Gość patrys]

Czy ser... odczytał plik /etc/passwd

Popraw konfiguracje php.

[Gość kucziapa]

tzn on chyba wrzucił shella na serwer bo miał tam konto www

[Gość N3T5kY]

Wyłącz w php

 

exec, shell_exec, system, i jeszcze według własnego uznania.

[Gość kucziapa]

ehhh teraz sam wrzuciłem shella na konto testowe i ku mojemu zdziwieniu po wpisaniu / wyskakuje

 

2 drwxr-xr-x 22 root root 4096 Jun 16 00:25 .

2 drwxr-xr-x 22 root root 4096 Jun 16 00:25 ..

49156 -rw------- 1 root root 18432 Jun 16 19:31 aquota.group

49158 -rw------- 1 root root 16384 Jun 16 20:11 aquota.user

2490369 drwxr-xr-x 2 root root 4096 Jun 2 18:15 bin

2588673 drwxr-xr-x 3 root root 4096 May 11 18:46 boot

49153 lrwxrwxrwx 1 root root 11 May 11 17:00 cdrom -> media/cdrom

826 drwxr-xr-x 13 root root 3940 May 13 01:22 dev

8994817 drwxr-xr-x 70 root root 4096 Jun 16 20:09 etc

5799937 drwx--x--x 54 root root 4096 Jun 16 19:31 home

4472833 drwxr-xr-x 2 root root 4096 May 11 17:02 initrd

49154 lrwxrwxrwx 1 root root 27 May 11 17:04 initrd.img -> boot/initrd.img-2.6.18-6-k7

9863169 drwxr-xr-x 12 root root 12288 May 11 19:58 lib

11 drwx------ 2 root root 16384 May 11 17:00 lost+found

6701057 drwxr-xr-x 3 root root 4096 May 11 17:00 media

1261569 drwxr-xr-x 2 root root 4096 Oct 28 2006 mnt

12861441 drwxr-xr-x 2 root root 4096 May 11 17:02 opt

1 dr-xr-xr-x 145 root root 0 May 13 01:21 proc

16908289 drwxr-xr-x 16 root root 4096 Jun 13 16:42 root

16384001 drwxr-xr-x 2 root root 4096 May 11 19:59 sbin

18759681 drwxr-xr-x 2 root root 4096 Mar 7 2007 selinux

2129921 drwxr-xr-x 2 root root 4096 May 11 17:02 srv

1 drwxr-xr-x 11 root root 0 May 13 01:21 sys

16596993 drwxrwxrwt 6 root root 69632 Jun 16 21:07 tmp

6078465 drwxr-xr-x 14 root root 4096 Jun 2 18:15 usr

3260417 drwxr-xr-x 16 root root 4096 May 19 18:53 var

49155 lrwxrwxrwx 1 root root 24 May 11 17:04 vmlinuz -> boot/vmlinuz-2.6.18-6-k7

 

czyli chyba nie ma praktycznie żadnych zabezpieczeń a jak to poprawić ??

[kafi 2425]

Włącz w DirectAdminie open_basedir na początek.

[Gość kucziapa]

Włącz w DirectAdminie open_basedir na początek.

 

Open BaseDir ON mam a Safe Mode OFF w DA

[Gość N3T5kY]

Pokaż może phpinfo ?

[Gość kucziapa]

w disabled mam tak

Disable functions : exec, shell_exec, system, proc_open, popen, set_time_limit, php_uname, fsockopen, passthru, gen_cfg_var, gen_cgf_all, ini_get_all

[Gość Active-Hosting]

Witam.

Mało masz w Disable

dodaj to:

load_file, show_source, passthru, popen, proc_open, disk_free_space, diskfreespace, leak, tmpfile, escapeshellcmd, php_uname, putenv, getmyuid, leak, listen, diskfreespace, tmpfile, link, ignore_user_abord, dl, highlight_file, source,fpaththru, virtual, posix_ctermid, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam,posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit,posix_getsid, posix_getuid, posix_isatty, posix_kill, posix_mkfifo, posix_setegid, posix_seteuid, posix_setgid, posix_setpgid, posix_setsid,posix_setuid, posix_times, posix_ttyname, posix_uname, proc_open, proc_close, proc_get_status, proc_nice, proc_terminate,openssl_csr_export_to_file, openssl_csr_export, openssl_csr_new, openssl_csr_sign, openssl_error_string, openssl_free_key,openssl_get_privatekey, openssl_get_publickey, openssl_open, openssl_pkcs7_decrypt, openssl_pkcs7_encrypt, openssl_pkcs7_sign,openssl_pkcs7_verify, openssl_pkey_export_to_file, openssl_pkey_export, openssl_pkey_free, openssl_pkey_get_private,openssl_pkey_get_public, openssl_pkey_new, openssl_private_decrypt, openssl_private_encrypt, openssl_public_decrypt,openssl_public_encrypt, openssl_seal, openssl_sign, openssl_verify, openssl_x509_check_private_key, openssl_x509_checkpurpose,openssl_x509_export_to_file, openssl_x509_export, openssl_x509_free, openssl_x509_parse, openssl_x509_read, curl_version, ftp_fput,disk_total_space, getrusage, fileowner, filegroup, system, exec, shell_exec, shell

 

i śpij dość spokojnie.

[Gość kucziapa]

Witam dodalem funkcje tylko teraz do RoundCube nie moge się zalogować bo pokazuje Błąd połączenia z serwerem

 

P.S Ok z RC już sobie poradziłem dodałem te funkcje które podał AH ale nadal jak wrzuce shella na konto testowe to mam dostęp do /etc/passwd

[MiSi3kK 16]

Jak masz ustawiony openbasedir?

[beliq 442]

@Active-Hosting: mogłeś skrócić swoją listę o połowę kompilując PHP z flagą --disable-posix, następne 25% nie stanowi zagrożenia bezpieczeństwa, zostaje 25% które pi*drzwi autor wątku już ma

[xorg 693]

@Active-Hosting: mogłeś skrócić swoją listę o połowę kompilując PHP z flagą --disable-posix, następne 25% nie stanowi zagrożenia bezpieczeństwa, zostaje 25% które pi*drzwi autor wątku już ma

 

To może wypisz poprawną listę ?

[Noone 19]

Chciałbym przy okazji zauważyć że openbasedir od php6 można dowolnie przestawiać Ciekawe co się stanie ze wszystkimi którzy na tym polegają a nie doczytali. Poza tym jak nie php to perl lub inne cgi. Pewnie też są dostępne. Na chwilę obecną ja bym się raczej martwił twoim głównym kontem roota i dostępem przez ssh. Pewnie tego w żaden sposób nie zabezpieczyłeś ekstra.

[Gość kucziapa]

Jak masz ustawiony openbasedir?

 

 

Open BaseDir ON

 

tylko tam jest problem taki jak mam w shellu

 

:: read file from vul ini_restore() ::

/etc/passwd naciskam show

 

i mam

 

root:x:0:0:root:/root:/bin/bash

daemon:x:1:1:daemon:/usr/sbin:/bin/sh

bin:x:2:2:bin:/bin:/bin/sh

sys:x:3:3:sys:/dev:/bin/sh

sync:x:4:65534:sync:/bin:/bin/sync

games:x:5:60:games:/usr/games:/bin/sh

mysql:x:107:107::/usr/local/mysql:/bin/false

webapps:x:108:108::/var/www/html:/bin/false

[www.ionic.pl 535]

Open BaseDir ON

 

tylko tam jest problem taki jak mam w shellu

 

:: read file from vul ini_restore() ::

/etc/passwd naciskam show

 

i mam

 

root:x:0:0:root:/root:/bin/bash

daemon:x:1:1:daemon:/usr/sbin:/bin/sh

bin:x:2:2:bin:/bin:/bin/sh

sys:x:3:3:sys:/dev:/bin/sh

sync:x:4:65534:sync:/bin:/bin/sync

games:x:5:60:games:/usr/games:/bin/sh

mysql:x:107:107::/usr/local/mysql:/bin/false

webapps:x:108:108::/var/www/html:/bin/false

 

 

Nie chodzi o to czy masz na on czy of - pokaż jakie masz wartości o_b_d

Jaki masz chmod na passwd i shadow ?

[Gość N3T5kY]

Jaka wersja PHP?

[Gość kucziapa]

/etc ( drwxr-xr-x )

 

PHP 5.2.9

 

Update

 

Dodałem coś takiego /etc chmod 000 passwd

[MiSi3kK 16]

na jaki katalog masz ustawiony ten open_basedir? Bo samo on nic nie daje.

 

Dla konkretnego vhosta podaj.

[Gość N3T5kY]

chmod 000 passwd

 

To graty

[beliq 442]

To może wypisz poprawną listę ?

 

Nie jestem w stanie tego zrobić zdalnie bez znajomości tego serwera.

 

 

Trzeba ją sobie we własnym zakresie skompletować.

 

 

 

Jeszcze nie widziałem, aby jakikolwiek współczesny system miał źle ustawiony chmod na pliki passwd i shadow.

Lepiej tego nie ruszaj, bo sobie popsujesz cały system.

[Gość patrys]

Dodałem coś takiego /etc chmod 000 passwd

o jej jak już możesz dać 644, a na shadow 400 ...