Gość patrick Zgłoś post Napisano Maj 5, 2006 Co jeszcze zrobić aby po wrzuceniu jakiegokolwiek zlosliwego skryptu nie dalo sie nic więcej zrobic poza danym kontem? niby mam te base_dir i php z jednego konta nie zrobi nic na drugim ale widac tym razem zostało to jakos ominiete. przyblokowac jeszcze jakąś funkcje w php? w apache? chroot apache badz php na safe_mode z openbasedir + prawa dostepu do kont. Udostępnij ten post Link to postu Udostępnij na innych stronach
patryk 451 Zgłoś post Napisano Maj 5, 2006 noexec na partycje z /tmp to następna warta zrobienia rzecz. Co do eAcceleratora - przy masie skryptów do cacheowania (kiedy jego katalog ma po 3-4 GB) naprawdę przyrost wydajności nie jest tak zauważalny, ale pewien jest . Twoje obciążenie nie było zapewne podyktowane tylko tym, że eaccelerator nie działal, ale pewnie tez kilku gigabajtowym error logiem z tego powodu, do którego co wywołanie jakiegokolwiek skryptu dopisywał sie błąd : ). Tak czy siak, dobrze, ze po problemie. Zabezpiecz się na przyszłość . Jeśli chodzi o PHP - z założenia poza shell_exec blokuje też readfile, dl, system, passthru, proc_open - 1-2% skryptów (zazwyczaj głupawych i dziurawych) ma problemy, ale spada zagrożenie możliwością wejścia w system przez popularne dziury i takie różne tam r57shelle właśnie. Udostępnij ten post Link to postu Udostępnij na innych stronach
beliq 442 Zgłoś post Napisano Maj 5, 2006 Chmod(go=) dla programów typu Perl, Python ,gcc, cpp, wget, lynx itp. , a także dla niektórych katalogów systemowych(711). Immutable flag dla plików w np. /bin, /sbin - tylko trzeba później pamiętać aby ją zdjąć przed updatem czegokolwiek stamtąd, bo inaczej można się zdziwić że jakoś dpkg wariuje. Jeśli dobrze znasz charakterytykę ruchu/obciążenia swojego serwera, to możesz zatrudnić coś do killowania procesów powyżej pewnego pułapu użycia zasobów(RAM, CPU) i automatycznego powiadamiania via e-mail, sms. Jeśli masz tylko 2 partycje na serwerze, możesz /tmp zrobić jako "loop". Możesz całość wrzucić do VPSa, tak aby master host pozostał "czysty" w razie poważniejszego włamania. Miło się to backupuje i przywraca, a przy standardowych ustawieniach np. takiego OpenVZ, w VPSie możesz tylko korzystać z iptables - żadnych obcych modułów jądra, zmiany czasu, ba możesz ustawić immutable flag, a później zabronić danemu VPSowi używania tej funkcji(czyli zdjęcia). Jest jeszcze coś takiego jak "Hardened PHP" - ma kilka ciekawie wyglądających funkcji, możesz mu się przyjrzeć, aczkolwiek jak działa to nie powiem. Mam w planach jego testy, ale dopiero za tydzień. Nie wiem, co hostujesz na serwerze, ale podejrzewam, że listę disable_functions zaproponowaną przez Patryka możesz spokojnie wydłużyć o jeszcze kilka funkcji. Zawsze możesz pojechać do DC i przegryźć kabel. Udostępnij ten post Link to postu Udostępnij na innych stronach
