From: Gokhan Geyik (gokko@gmx.com.tr)
Date: Wed 28 Apr 2004 - 10:12:59 EEST
Merhaba,
Apache'de
<VirtualHost>
</VirtualHost>
arasina bir yere ekleyebilirsiniz.
Ayrica yapiyi olusturabilirseniz ortak bir open_basedir'da isinizi
gorecektir.
Fakat tekrar soyluyorum.
Butun bunlari yaptiginizi dusunsek bile executing fonksiyonlarinida
yasaklamalisiniz.
Iyi Calismalar
On Wed, 2004-04-28 at 10:06, enginaar© wrote:
> Sayın Arkadaşım,
>
>
> Anlatimin o kadar da köpük sayilmaz haksizlik etme kendine, en azindan ne
> demek istedigini anladim, kullandigim CP zaten dediklerini yapiyor tahmin
> ediyorum cunku her domain /home/virtual altında siteno olarak kendi /home
> /var /usr vs. dizinlerine sahip ftp’den ciktigi en yuksek dizin ona gore “/”
> o da /home/virtual/siteno/fst dizini demek oluyor bana gore. Kimsenin de
> ssh hakki yok, yalnız gene kontrol etmek istiyorum ben makinamı ama
> virtualhost tanimlarken “php_admin_value open_basedir /usr/local/sites”
> satirini nereye ekliosun.
>
>
>
> 617 Ali Engin :)
>
> -----Original Message-----
> From: linux-guvenlik-bounce@liste.linux.org.tr
> [mailto:linux-guvenlik-bounce@liste.linux.org.tr] On Behalf Of Gokhan Geyik
> Sent: Tuesday, April 27, 2004 6:27 PM
> To: linux-guvenlik@liste.linux.org.tr
> Subject: [linux-guvenlik] Re: FW: Re: tesekkurler :) (a millet neişsbu
> turkce karakter sorununu cozemedim)
>
>
>
> Merhaba,
>
> Su Web hizmeti yuzunden olusabilecek aciga benim bir cozumumvar.
>
> Calistigim firmada uyguluyorum ve ise yariyor.
>
>
>
> Anlatmakta pek basarili degilim bu yuzden ornekler vererek anlatmam
>
> umarim sizler icin sorun olmaz.
>
>
>
> deneme.com isminde bir domaini host etmek istedigimizi bir dusunelim.
>
> Fakat bu musterinin iyi niyetli bir insan oldugunu sanmiyoruz.
>
> onu kontrol altinda tutabiliriz.
>
>
>
> "DocumentRoot'unun /usr/local/sites/deneme.com/" oldugunu varsayalim
>
> Eger bu musterimiz "/usr/local/" dizinine kadar cikabilirse bu bizim
>
> icin iyi olmaz.
>
> Cesitli konfigurasyon dosyalarimizi dahi okuyabilir.Belki iclerine
>
> onemli seyler yazmis olabiliriz.
>
>
>
> O halde virtualhost tanimlarken ona minik bir satir daha ekleyelim.
>
>
>
> php_admin_value open_basedir /usr/local/sites
>
>
>
> Bu satir onun sitesini bir nevi "chroot"
>
> calistiracaktir./usr/local/sites dizininden yukarisi onun icin olmayacak
>
> ve boylece dosyalariniza erisemeyecektir.
>
>
>
> Tabi bunun yaninde
>
> shell_exec
>
> exec
>
> system
>
> passthru
>
> proc_open vb.
>
>
>
> fonksiyonlari yasaklamayi unutmamak lazim.
>
>
>
> Aslinda bu yaptigimiz chroot fazla ise yaramaycak.Daha iyi cozumlerde
>
> var.
>
> Tabii buna ek olarak.
>
> Ornegin apache'mizi patch edebiliriz(sanki herkes apache kullanir :) ).
>
> Biz bu patchi yapiyoruz.Patch her virtualhost'un ayri bir usermis gibi
>
> calismasini sagliyor.
>
> Boylece chmod ile cok guzel seyler yapilabiliyor.
>
> CGI'da da bir cesit chroot saglamis oluyoruz.(mod_suid)
>
>
>
> Tum bunlari yaptiysan eger birkac minik ayarimiz kalmis demektir.
>
> Bunlardan biri "session save path" ve bir digeri "upload tmp dir".
>
> eger /usr/local/sites/ icersinde bir tmp olusturursak ve ilgili
>
> degiskenleri oraya atama yaparsak oldukca guvenilir bir sunucumuz olur
>
> diye dusunuyorum.
>
>
>
> Neticede open_basedir /usr/local/sites dizinine kadar cikabilir fakat
>
> sadece tmp dizininde is yapabilir.
>
> Cunku diger dizinler mod_suid kullandigimiz icin baska userlara ait.
>
> Okumak ve yazmak mumkun olmayacak.
>
> /usr/local/sites dizininin daha ustu o kullanici icin olmadigindan baska
>
> yerlerede gidemeyecek.
>
> e bircok onemli function'i yasakladik.
>
> Bu yuzden olasi bir exploit calistiramaycak.
>
>
>
> Biz bu sekilde hizmet veriyoruz ve gayet memnunuz.Musterilerimizde
>
> memnun.Bu kisitlamayi hissetmeden her islerini gorebiliyorlar.
>
> Umarim kopuk anlatimim biraz aciklayici olmustur.
>
>
>
> Iyi Calismalar
>
>
>
>
>
>
>
> On Tue, 2004-04-27 at 09:24, enginaar© wrote:
>
> > (Arial font kullaninca duzelir mi acaba. Bu arada beni flood’dan atmazlar
>
> > umarım. :-)))))
>
> >
>
> >
>
> >
>
> >
>
> > Mailime şimdi baktım ve sanırım 1-2 saat geçmiş, müsait olduğun başka bi
>
> > zaman bana mail atabilirsin ama senin de exploit yerleştirmiycenden nasıl
>
> > emin olabilirim :) yeni hacklenmiş biri olarak yüksek paranoya
>
> > düzeylerindeyim.
>
> >
>
> >
>
> >
>
> > Yav dediğin programı buldum da onu kurucam sonra nasıl kaldırıcam,
>
> > girmesinler makinaya gene. Bi de kernel update edicem etmesine ama dediğim
>
> > gibi kullandığım CP daha yenilerini desteklemio.
>
> >
>
> >
>
> >
>
> > Bi de amma zahmetli işmiş bu hackerlık ya sen basitçe anlatırken bile
>
> > paragraf paragraf döktürmüşün millet bunla mı uraşıo ya. Allahım sen
>
> > insanoğluna akıl fikir ver yarabbim.
>
> >
>
> >
>
> >
>
> > Ali Engin
>
> >
>
> >
>
> >
>
> > -----Original Message-----
>
> >
>
> > From: linux-guvenlik-bounce@liste.linux.org.tr
>
> > [mailto:linux-guvenlik-bounce@liste.linux.org.tr] On Behalf Of Murat
> ŞİŞMAN
>
> >
>
> > Sent: Monday, April 26, 2004 5:10 PM
>
> >
>
> > To: linux-guvenlik@liste.linux.org.tr
>
> >
>
> > Subject: [linux-guvenlik] Re: teşekkürler :)
>
> >
>
> >
>
> >
>
> > Sorun su sekilde oluyor.
>
> >
>
> > www.deneme.com/index.php?sayfa=main.php
>
> >
>
> > burda php main.php isimli dosyayı açarak işlem yapıyor bu sayede sisteme
>
> >
>
> > komut çalıştırtılabiliyor. Bu açığı kontrol etmek için dario.tar.gz
>
> >
>
> > isimli programı kullanabilirsin.
>
> >
>
> >
>
> >
>
> > Apache user olarak sisteme giren kişi exploit kullanmak için /tmp
>
> >
>
> > dizinin kullanır. Wget ilde exploit kaynagını indirip ancak bu dizinde
>
> >
>
> > derleme yapabilir. Eğer kernel tutuyorsa "ki senin kernelinde root olmak
>
> >
>
> > oldukça basit" root olur, makinana rootkit kurar. Bu rootkit kendi
>
> >
>
> > süreçlerini gizler ve sen onu göremezsin. ssh ve telnet açığını
>
> >
>
> > kullanarak kullanıcı kendi belirlediği porttan giriş yapar. Bulman çok
>
> >
>
> > ama çok zorlaşır. Sisteminde rootkit taraması yaptır bu işe yarayabilir.
>
> >
>
> >
>
> >
>
> > Eğer fazla kullanıcı hesabın yoksa bunu içeriden biriside yapmış
>
> >
>
> > olabilir diye düşünerek kullanıcılarının dizinlerindeki dosyaları
>
> >
>
> > kontrol et ".bash_history ve .sh_history" dosyalarına bakmayı sakın
>
> >
>
> > unutma. Veya kullanıcı fazla isede basite indirgeyip cat
>
> >
>
> > /home/*/.bash_history | grep id uname hacked who gibi aramalar
>
> >
>
> > yapabilirsin. (sistemi hacklemeye çalışanlar id uname who gibi komutları
>
> >
>
> > çok kullanırlar)
>
> >
>
> >
>
> >
>
> > basit bir betik hazırlayıp /tmp dizinini 2 şer veya 3 er saatte bir
>
> >
>
> > yedeğini aldır ve bunları kontrol et. yabancı bir dosya gördüğün an
>
> >
>
> > olaya müdahele etmen daha kolaylaşır. Belki o zamana kadar log ları
>
> >
>
> > silmemiş olur ve ordan ip vs.. adresini bulman kolaylaşır.
>
> >
>
> >
>
> >
>
> > Normal bir üyenin hesabını kullanıyor olabilir. Sen ne kadar rootkitleri
>
> >
>
> > exploitleri silersen sil eğer bir kullanıcının şifresini biliyor ise onu
>
> >
>
> > kullanarak giriş yapar ve aynılarını tekrar eder. Kullanıcılarının
>
> >
>
> > girişlerini loglardan takip etmeye calıs ve karşılaştırma yap.
>
> >
>
> >
>
> >
>
> > /etc/passwd dosyanı bir gözden geçir
>
> >
>
> > lp:0:0 gibi lp kullanıcısını root grubuyla değiştirmiş olabilir.
>
> >
>
> > /etc/shadow dan lp games gibi userların şifresi olup olmadığını kontrol
>
> >
>
> > et. Şifre varsa hemen yok et :)
>
> >
>
> >
>
> >
>
> > İlk ama ilk önlem olarak en son sürüm kerneli yükle. Çünkü root
>
> >
>
> > olabilmenin %80 ilk yolu kernel hatalarıdır.
>
> >
>
> >
>
> >
>
> > Şunu da unutma ne kadar güvenlik önlemi alırsan al sonunda yine sisteme
>
> >
>
> > girilir bir yol ile.
>
> >
>
> >
>
> >
>
> > Dilersen bana bir normal user aç birlikte kontrol edelim rootkit ve
>
> >
>
> > exploit olayını. 1-2 saatliğine müsaitim yapacak iş arıyordum.
>
> >
>
> >
>
> >
>
> >
>
> >
-- Gokhan Geyik <gokko@gmx.com.tr> gokko.net-- Attached file included as plaintext by Ecartis -- -- File: signature.asc -- Desc: This is a digitally signed message part
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux)
iD8DBQBAj1l6L/ljkurXIJoRAgg9AJ9IzHmQWurZH8TMB5RB72yCRV2KHwCgnAbI 3RiO1/0FuSoXiYR+ouKXEJs= =9rKr -----END PGP SIGNATURE-----