From: enginaarŠ (engin@saroz-life.com)
Date: Wed 28 Apr 2004 - 13:29:32 EEST
A=FEa=F0=FDdaki gibi bir sat=FDr i=FE g=F6r=FCr m=FC? Ayr=FDca =
executing'leri nas=FDl
yasaklayabilirim.
"SetEnv SITE_ROOT /home/virtual/site1/fst"
617 Ali Engin :)
-----Original Message-----
From: linux-guvenlik-bounce@liste.linux.org.tr
[mailto:linux-guvenlik-bounce@liste.linux.org.tr] On Behalf Of Gokhan =
Geyik
Sent: Wednesday, April 28, 2004 10:13 AM
To: linux-guvenlik@liste.linux.org.tr
Subject: [linux-guvenlik] Re: FW: Re: tesekkurler :) (a milletnei=FEsbu =
turkce
karakter sorununu cozemedim)
Merhaba,
Apache'de=20
<VirtualHost>
</VirtualHost>
arasina bir yere ekleyebilirsiniz.
Ayrica yapiyi olusturabilirseniz ortak bir open_basedir'da isinizi
gorecektir.
Fakat tekrar soyluyorum.
Butun bunlari yaptiginizi dusunsek bile executing fonksiyonlarinida
yasaklamalisiniz.
Iyi Calismalar
On Wed, 2004-04-28 at 10:06, enginaar=A9 wrote:
> Say=FDn Arkada=FE=FDm,
> =20
>=20
> Anlatimin o kadar da k=F6p=FCk sayilmaz haksizlik etme kendine, en =
azindan ne
> demek istedigini anladim, kullandigim CP zaten dediklerini yapiyor =
tahmin
> ediyorum cunku her domain /home/virtual alt=FDnda siteno olarak kendi =
/home
> /var /usr vs. dizinlerine sahip ftp=92den ciktigi en yuksek dizin ona =
gore
=93/=94
> o da /home/virtual/siteno/fst dizini demek oluyor bana gore. Kimsenin =
de
> ssh hakki yok, yaln=FDz gene kontrol etmek istiyorum ben makinam=FD =
ama
> virtualhost tanimlarken =93php_admin_value open_basedir =
/usr/local/sites=94
> satirini nereye ekliosun.
>=20
> =20
>=20
> 617 Ali Engin :)
>=20
> -----Original Message-----
> From: linux-guvenlik-bounce@liste.linux.org.tr
> [mailto:linux-guvenlik-bounce@liste.linux.org.tr] On Behalf Of Gokhan
Geyik
> Sent: Tuesday, April 27, 2004 6:27 PM
> To: linux-guvenlik@liste.linux.org.tr
> Subject: [linux-guvenlik] Re: FW: Re: tesekkurler :) (a millet =
nei=FEsbu
> turkce karakter sorununu cozemedim)
>=20
> =20
>=20
> Merhaba,
>=20
> Su Web hizmeti yuzunden olusabilecek aciga benim bir cozumumvar.
>=20
> Calistigim firmada uyguluyorum ve ise yariyor.
>=20
> =20
>=20
> Anlatmakta pek basarili degilim bu yuzden ornekler vererek anlatmam
>=20
> umarim sizler icin sorun olmaz.
>=20
> =20
>=20
> deneme.com isminde bir domaini host etmek istedigimizi bir dusunelim.
>=20
> Fakat bu musterinin iyi niyetli bir insan oldugunu sanmiyoruz.
>=20
> onu kontrol altinda tutabiliriz.
>=20
> =20
>=20
> "DocumentRoot'unun /usr/local/sites/deneme.com/" oldugunu varsayalim
>=20
> Eger bu musterimiz "/usr/local/" dizinine kadar cikabilirse bu bizim
>=20
> icin iyi olmaz.
>=20
> Cesitli konfigurasyon dosyalarimizi dahi okuyabilir.Belki iclerine
>=20
> onemli seyler yazmis olabiliriz.
>=20
> =20
>=20
> O halde virtualhost tanimlarken ona minik bir satir daha ekleyelim.
>=20
> =20
>=20
> php_admin_value open_basedir /usr/local/sites
>=20
> =20
>=20
> Bu satir onun sitesini bir nevi "chroot"
>=20
> calistiracaktir./usr/local/sites dizininden yukarisi onun icin =
olmayacak
>=20
> ve boylece dosyalariniza erisemeyecektir.
>=20
> =20
>=20
> Tabi bunun yaninde
>=20
> shell_exec
>=20
> exec
>=20
> system
>=20
> passthru
>=20
> proc_open vb.
>=20
> =20
>=20
> fonksiyonlari yasaklamayi unutmamak lazim.
>=20
> =20
>=20
> Aslinda bu yaptigimiz chroot fazla ise yaramaycak.Daha iyi cozumlerde
>=20
> var.
>=20
> Tabii buna ek olarak.
>=20
> Ornegin apache'mizi patch edebiliriz(sanki herkes apache kullanir :) =
).
>=20
> Biz bu patchi yapiyoruz.Patch her virtualhost'un ayri bir usermis gibi
>=20
> calismasini sagliyor.
>=20
> Boylece chmod ile cok guzel seyler yapilabiliyor.
>=20
> CGI'da da bir cesit chroot saglamis oluyoruz.(mod_suid)
>=20
> =20
>=20
> Tum bunlari yaptiysan eger birkac minik ayarimiz kalmis demektir.
>=20
> Bunlardan biri "session save path" ve bir digeri "upload tmp dir".
>=20
> eger /usr/local/sites/ icersinde bir tmp olusturursak ve ilgili
>=20
> degiskenleri oraya atama yaparsak oldukca guvenilir bir sunucumuz olur
>=20
> diye dusunuyorum.
>=20
> =20
>=20
> Neticede open_basedir /usr/local/sites dizinine kadar cikabilir fakat
>=20
> sadece tmp dizininde is yapabilir.
>=20
> Cunku diger dizinler mod_suid kullandigimiz icin baska userlara ait.
>=20
> Okumak ve yazmak mumkun olmayacak.
>=20
> /usr/local/sites dizininin daha ustu o kullanici icin olmadigindan =
baska
>=20
> yerlerede gidemeyecek.
>=20
> e bircok onemli function'i yasakladik.
>=20
> Bu yuzden olasi bir exploit calistiramaycak.
>=20
> =20
>=20
> Biz bu sekilde hizmet veriyoruz ve gayet memnunuz.Musterilerimizde
>=20
> memnun.Bu kisitlamayi hissetmeden her islerini gorebiliyorlar.
>=20
> Umarim kopuk anlatimim biraz aciklayici olmustur.
>=20
> =20
>=20
> Iyi Calismalar
>=20
> =20
>=20
>=20
>=20
>=20
>=20
> On Tue, 2004-04-27 at 09:24, enginaar=A9 wrote:
>=20
> > (Arial font kullaninca duzelir mi acaba. Bu arada beni flood=92dan
atmazlar
>=20
> > umar=FDm. :-)))))
>=20
> > =20
>=20
> >=20
>=20
> >=20
>=20
> >=20
>=20
> > Mailime =FEimdi bakt=FDm ve san=FDr=FDm 1-2 saat ge=E7mi=FE, =
m=FCsait oldu=F0un ba=FEka bi
>=20
> > zaman bana mail atabilirsin ama senin de exploit =
yerle=FEtirmiycenden
nas=FDl
>=20
> > emin olabilirim :) yeni hacklenmi=FE biri olarak y=FCksek paranoya
>=20
> > d=FCzeylerindeyim.=20
>=20
> >=20
>=20
> > =20
>=20
> >=20
>=20
> > Yav dedi=F0in program=FD buldum da onu kurucam sonra nas=FDl =
kald=FDr=FDcam,
>=20
> > girmesinler makinaya gene. Bi de kernel update edicem etmesine ama
dedi=F0im
>=20
> > gibi kulland=FD=F0=FDm CP daha yenilerini desteklemio.
>=20
> >=20
>=20
> > =20
>=20
> >=20
>=20
> > Bi de amma zahmetli i=FEmi=FE bu hackerl=FDk ya sen basit=E7e =
anlat=FDrken bile
>=20
> > paragraf paragraf d=F6kt=FCrm=FC=FE=FCn millet bunla m=FD ura=FE=FDo =
ya. Allah=FDm sen
>=20
> > insano=F0luna ak=FDl fikir ver yarabbim.
>=20
> >=20
>=20
> > =20
>=20
> >=20
>=20
> > Ali Engin
>=20
> >=20
>=20
> > =20
>=20
> >=20
>=20
> > -----Original Message-----
>=20
> >=20
>=20
> > From: linux-guvenlik-bounce@liste.linux.org.tr
>=20
> > [mailto:linux-guvenlik-bounce@liste.linux.org.tr] On Behalf Of Murat
> =DE=DD=DEMAN
>=20
> >=20
>=20
> > Sent: Monday, April 26, 2004 5:10 PM
>=20
> >=20
>=20
> > To: linux-guvenlik@liste.linux.org.tr
>=20
> >=20
>=20
> > Subject: [linux-guvenlik] Re: te=FEekk=FCrler :)
>=20
> >=20
>=20
> > =20
>=20
> >=20
>=20
> > Sorun su sekilde oluyor.
>=20
> >=20
>=20
> > www.deneme.com/index.php?sayfa=3Dmain.php
>=20
> >=20
>=20
> > burda php main.php isimli dosyay=FD a=E7arak i=FElem yap=FDyor bu =
sayede sisteme
>=20
> >=20
>=20
> > komut =E7al=FD=FEt=FDrt=FDlabiliyor. Bu a=E7=FD=F0=FD kontrol etmek =
i=E7in dario.tar.gz=20
>=20
> >=20
>=20
> > isimli program=FD kullanabilirsin.
>=20
> >=20
>=20
> > =20
>=20
> >=20
>=20
> > Apache user olarak sisteme giren ki=FEi exploit kullanmak i=E7in =
/tmp=20
>=20
> >=20
>=20
> > dizinin kullan=FDr. Wget ilde exploit kaynag=FDn=FD indirip ancak bu =
dizinde=20
>=20
> >=20
>=20
> > derleme yapabilir. E=F0er kernel tutuyorsa "ki senin kernelinde root =
olmak
>=20
> >=20
>=20
> > olduk=E7a basit" root olur, makinana rootkit kurar. Bu rootkit kendi =
>=20
> >=20
>=20
> > s=FCre=E7lerini gizler ve sen onu g=F6remezsin. ssh ve telnet =
a=E7=FD=F0=FDn=FD=20
>=20
> >=20
>=20
> > kullanarak kullan=FDc=FD kendi belirledi=F0i porttan giri=FE yapar. =
Bulman =E7ok=20
>=20
> >=20
>=20
> > ama =E7ok zorla=FE=FDr. Sisteminde rootkit taramas=FD yapt=FDr bu =
i=FEe yarayabilir.
>=20
> >=20
>=20
> > =20
>=20
> >=20
>=20
> > E=F0er fazla kullan=FDc=FD hesab=FDn yoksa bunu i=E7eriden biriside =
yapm=FD=FE=20
>=20
> >=20
>=20
> > olabilir diye d=FC=FE=FCnerek kullan=FDc=FDlar=FDn=FDn =
dizinlerindeki dosyalar=FD=20
>=20
> >=20
>=20
> > kontrol et ".bash_history ve .sh_history" dosyalar=FDna bakmay=FD =
sak=FDn=20
>=20
> >=20
>=20
> > unutma. Veya kullan=FDc=FD fazla isede basite indirgeyip cat=20
>=20
> >=20
>=20
> > /home/*/.bash_history | grep id uname hacked who gibi aramalar=20
>=20
> >=20
>=20
> > yapabilirsin. (sistemi hacklemeye =E7al=FD=FEanlar id uname who gibi =
komutlar=FD
>=20
> >=20
>=20
> > =E7ok kullan=FDrlar)
>=20
> >=20
>=20
> > =20
>=20
> >=20
>=20
> > basit bir betik haz=FDrlay=FDp /tmp dizinini 2 =FEer veya 3 er =
saatte bir=20
>=20
> >=20
>=20
> > yede=F0ini ald=FDr ve bunlar=FD kontrol et. yabanc=FD bir dosya =
g=F6rd=FC=F0=FCn an=20
>=20
> >=20
>=20
> > olaya m=FCdahele etmen daha kolayla=FE=FDr. Belki o zamana kadar log =
lar=FD=20
>=20
> >=20
>=20
> > silmemi=FE olur ve ordan ip vs.. adresini bulman kolayla=FE=FDr.
>=20
> >=20
>=20
> > =20
>=20
> >=20
>=20
> > Normal bir =FCyenin hesab=FDn=FD kullan=FDyor olabilir. Sen ne kadar =
rootkitleri
>=20
> >=20
>=20
> > exploitleri silersen sil e=F0er bir kullan=FDc=FDn=FDn =FEifresini =
biliyor ise onu
>=20
> >=20
>=20
> > kullanarak giri=FE yapar ve ayn=FDlar=FDn=FD tekrar eder. =
Kullan=FDc=FDlar=FDn=FDn=20
>=20
> >=20
>=20
> > giri=FElerini loglardan takip etmeye cal=FDs ve =
kar=FE=FDla=FEt=FDrma yap.
>=20
> >=20
>=20
> > =20
>=20
> >=20
>=20
> > /etc/passwd dosyan=FD bir g=F6zden ge=E7ir
>=20
> >=20
>=20
> > lp:0:0 gibi lp kullan=FDc=FDs=FDn=FD root grubuyla de=F0i=FEtirmi=FE =
olabilir.=20
>=20
> >=20
>=20
> > /etc/shadow dan lp games gibi userlar=FDn =FEifresi olup =
olmad=FD=F0=FDn=FD kontrol=20
>=20
> >=20
>=20
> > et. =DEifre varsa hemen yok et :)
>=20
> >=20
>=20
> > =20
>=20
> >=20
>=20
> > =DDlk ama ilk =F6nlem olarak en son s=FCr=FCm kerneli y=FCkle. =
=C7=FCnk=FC root=20
>=20
> >=20
>=20
> > olabilmenin %80 ilk yolu kernel hatalar=FDd=FDr.
>=20
> >=20
>=20
> > =20
>=20
> >=20
>=20
> > =DEunu da unutma ne kadar g=FCvenlik =F6nlemi al=FDrsan al sonunda =
yine sisteme=20
>=20
> >=20
>=20
> > girilir bir yol ile.
>=20
> >=20
>=20
> > =20
>=20
> >=20
>=20
> > Dilersen bana bir normal user a=E7 birlikte kontrol edelim rootkit =
ve=20
>=20
> >=20
>=20
> > exploit olay=FDn=FD. 1-2 saatli=F0ine m=FCsaitim yapacak i=FE =
ar=FDyordum.
>=20
> >=20
>=20
> > =20
>=20
> >=20
>=20
> >=20
>=20
> >=20
--=20
Gokhan Geyik <gokko@gmx.com.tr>
gokko.net
-- Attached file included as plaintext by Ecartis --
-- File: signature.asc
-- Desc: This is a digitally signed message part
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)
iD8DBQBAj1l6L/ljkurXIJoRAgg9AJ9IzHmQWurZH8TMB5RB72yCRV2KHwCgnAbI
3RiO1/0FuSoXiYR+ouKXEJs=3D
=3D9rKr
-----END PGP SIGNATURE-----