From: Gokhan Geyik (gokko@gmx.com.tr)
Date: Tue 27 Apr 2004 - 18:27:28 EEST
Merhaba,
Su Web hizmeti yuzunden olusabilecek aciga benim bir cozumumvar.
Calistigim firmada uyguluyorum ve ise yariyor.
Anlatmakta pek basarili degilim bu yuzden ornekler vererek anlatmam
umarim sizler icin sorun olmaz.
deneme.com isminde bir domaini host etmek istedigimizi bir dusunelim.
Fakat bu musterinin iyi niyetli bir insan oldugunu sanmiyoruz.
onu kontrol altinda tutabiliriz.
"DocumentRoot'unun /usr/local/sites/deneme.com/" oldugunu varsayalim
Eger bu musterimiz "/usr/local/" dizinine kadar cikabilirse bu bizim
icin iyi olmaz.
Cesitli konfigurasyon dosyalarimizi dahi okuyabilir.Belki iclerine
onemli seyler yazmis olabiliriz.
O halde virtualhost tanimlarken ona minik bir satir daha ekleyelim.
php_admin_value open_basedir /usr/local/sites
Bu satir onun sitesini bir nevi "chroot"
calistiracaktir./usr/local/sites dizininden yukarisi onun icin olmayacak
ve boylece dosyalariniza erisemeyecektir.
Tabi bunun yaninde
shell_exec
exec
system
passthru
proc_open vb.
fonksiyonlari yasaklamayi unutmamak lazim.
Aslinda bu yaptigimiz chroot fazla ise yaramaycak.Daha iyi cozumlerde
var.
Tabii buna ek olarak.
Ornegin apache'mizi patch edebiliriz(sanki herkes apache kullanir :) ).
Biz bu patchi yapiyoruz.Patch her virtualhost'un ayri bir usermis gibi
calismasini sagliyor.
Boylece chmod ile cok guzel seyler yapilabiliyor.
CGI'da da bir cesit chroot saglamis oluyoruz.(mod_suid)
Tum bunlari yaptiysan eger birkac minik ayarimiz kalmis demektir.
Bunlardan biri "session save path" ve bir digeri "upload tmp dir".
eger /usr/local/sites/ icersinde bir tmp olusturursak ve ilgili
degiskenleri oraya atama yaparsak oldukca guvenilir bir sunucumuz olur
diye dusunuyorum.
Neticede open_basedir /usr/local/sites dizinine kadar cikabilir fakat
sadece tmp dizininde is yapabilir.
Cunku diger dizinler mod_suid kullandigimiz icin baska userlara ait.
Okumak ve yazmak mumkun olmayacak.
/usr/local/sites dizininin daha ustu o kullanici icin olmadigindan baska
yerlerede gidemeyecek.
e bircok onemli function'i yasakladik.
Bu yuzden olasi bir exploit calistiramaycak.
Biz bu sekilde hizmet veriyoruz ve gayet memnunuz.Musterilerimizde
memnun.Bu kisitlamayi hissetmeden her islerini gorebiliyorlar.
Umarim kopuk anlatimim biraz aciklayici olmustur.
Iyi Calismalar
On Tue, 2004-04-27 at 09:24, enginaar© wrote:
> (Arial font kullaninca duzelir mi acaba. Bu arada beni flood’dan atmazlar
> umarım. :-)))))
>
>
>
>
> Mailime şimdi baktım ve sanırım 1-2 saat geçmiş, müsait olduğun başka bi
> zaman bana mail atabilirsin ama senin de exploit yerleştirmiycenden nasıl
> emin olabilirim :) yeni hacklenmiş biri olarak yüksek paranoya
> düzeylerindeyim.
>
>
>
> Yav dediğin programı buldum da onu kurucam sonra nasıl kaldırıcam,
> girmesinler makinaya gene. Bi de kernel update edicem etmesine ama dediğim
> gibi kullandığım CP daha yenilerini desteklemio.
>
>
>
> Bi de amma zahmetli işmiş bu hackerlık ya sen basitçe anlatırken bile
> paragraf paragraf döktürmüşün millet bunla mı uraşıo ya. Allahım sen
> insanoğluna akıl fikir ver yarabbim.
>
>
>
> Ali Engin
>
>
>
> -----Original Message-----
>
> From: linux-guvenlik-bounce@liste.linux.org.tr
> [mailto:linux-guvenlik-bounce@liste.linux.org.tr] On Behalf Of Murat ŞİŞMAN
>
> Sent: Monday, April 26, 2004 5:10 PM
>
> To: linux-guvenlik@liste.linux.org.tr
>
> Subject: [linux-guvenlik] Re: teşekkürler :)
>
>
>
> Sorun su sekilde oluyor.
>
> www.deneme.com/index.php?sayfa=main.php
>
> burda php main.php isimli dosyayı açarak işlem yapıyor bu sayede sisteme
>
> komut çalıştırtılabiliyor. Bu açığı kontrol etmek için dario.tar.gz
>
> isimli programı kullanabilirsin.
>
>
>
> Apache user olarak sisteme giren kişi exploit kullanmak için /tmp
>
> dizinin kullanır. Wget ilde exploit kaynagını indirip ancak bu dizinde
>
> derleme yapabilir. Eğer kernel tutuyorsa "ki senin kernelinde root olmak
>
> oldukça basit" root olur, makinana rootkit kurar. Bu rootkit kendi
>
> süreçlerini gizler ve sen onu göremezsin. ssh ve telnet açığını
>
> kullanarak kullanıcı kendi belirlediği porttan giriş yapar. Bulman çok
>
> ama çok zorlaşır. Sisteminde rootkit taraması yaptır bu işe yarayabilir.
>
>
>
> Eğer fazla kullanıcı hesabın yoksa bunu içeriden biriside yapmış
>
> olabilir diye düşünerek kullanıcılarının dizinlerindeki dosyaları
>
> kontrol et ".bash_history ve .sh_history" dosyalarına bakmayı sakın
>
> unutma. Veya kullanıcı fazla isede basite indirgeyip cat
>
> /home/*/.bash_history | grep id uname hacked who gibi aramalar
>
> yapabilirsin. (sistemi hacklemeye çalışanlar id uname who gibi komutları
>
> çok kullanırlar)
>
>
>
> basit bir betik hazırlayıp /tmp dizinini 2 şer veya 3 er saatte bir
>
> yedeğini aldır ve bunları kontrol et. yabancı bir dosya gördüğün an
>
> olaya müdahele etmen daha kolaylaşır. Belki o zamana kadar log ları
>
> silmemiş olur ve ordan ip vs.. adresini bulman kolaylaşır.
>
>
>
> Normal bir üyenin hesabını kullanıyor olabilir. Sen ne kadar rootkitleri
>
> exploitleri silersen sil eğer bir kullanıcının şifresini biliyor ise onu
>
> kullanarak giriş yapar ve aynılarını tekrar eder. Kullanıcılarının
>
> girişlerini loglardan takip etmeye calıs ve karşılaştırma yap.
>
>
>
> /etc/passwd dosyanı bir gözden geçir
>
> lp:0:0 gibi lp kullanıcısını root grubuyla değiştirmiş olabilir.
>
> /etc/shadow dan lp games gibi userların şifresi olup olmadığını kontrol
>
> et. Şifre varsa hemen yok et :)
>
>
>
> İlk ama ilk önlem olarak en son sürüm kerneli yükle. Çünkü root
>
> olabilmenin %80 ilk yolu kernel hatalarıdır.
>
>
>
> Şunu da unutma ne kadar güvenlik önlemi alırsan al sonunda yine sisteme
>
> girilir bir yol ile.
>
>
>
> Dilersen bana bir normal user aç birlikte kontrol edelim rootkit ve
>
> exploit olayını. 1-2 saatliğine müsaitim yapacak iş arıyordum.
>
>
>
>
>
-- Gokhan Geyik <gokko@gmx.com.tr> gokko.net-- Attached file included as plaintext by Ecartis -- -- File: signature.asc -- Desc: This is a digitally signed message part
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux)
iD8DBQBAjnvgL/ljkurXIJoRAlrVAJ4yWdSPYzME4ajxAtNcsRdG/D/qgACfb2kb PKj6WIyVvEaCxeqv/oiQf/U= =yw0Z -----END PGP SIGNATURE-----