From: Gokhan Geyik (gokko@gmx.com.tr)
Date: Wed 28 Apr 2004 - 15:22:02 EEST
Merhaba,
Yine bir ornek yapsam sanirim daha iyi olacak.
deneme.com icin bir hosting acalim mesela(tamamen manual olacak bir
islem)
vdeneme isminde bir user actik.shell'i false.
mkdir /usr/local/sites/deneme.com
mkdir /usr/local/sites/deneme.com/httpdocs
chown -Rf vdeneme:vgroup /usr/local/sites/deneme.com
chmod -Rf a-wrx /usr/local/sites/deneme.com
chmod -Rf u+wrx /usr/local/sites/deneme.com
<VirtualHost 100.100.100.100:80>
ServerName www.deneme.com
ServerAlias deneme.com
DocumentRoot /usr/local/sites/deneme.com/httpdocs
Suid user vdeneme
Suid group vgroup
</VirtualHost>
Bu sekilde bir hosting actik ve php.ini dosyasinda open_basedir
/usr/local/sites.
Dolayisisla / dizinine gidemeyecek bile.
Gidebilecegi en ust sizin /usr/local/sites olacak.Buraya diger
hostinglerimizin dizinleri olacak.
Fakat onlarada giremeyecek cunku onlarinda userlari varkli.
tipki kendisinin vdeneme oldugu gibi.
/usr/local/sites icersinde bir tmp dizini olusturup php.ini'den
upload_tmp_dir ve session_save_path'i bu dizin olarak gostermekte iyi
olur.
disable_functions ifadesine virgul ile ayirarak ekledigimiz fonksiyonlar
kullanilamaz hale gelir.
disable_functions = exec,system,shell_exec,passthru,proc_open
gibi.
Iyi Calismalar
executing fonksiyonlari icin gene php.ini isimize yarayacak.
On Wed, 2004-04-28 at 13:29, enginaar© wrote:
> A=FEa=F0=FDdaki gibi bir sat=FDr i=FE g=F6r=FCr m=FC? Ayr=FDca =
> executing'leri nas=FDl
> yasaklayabilirim.
>
> "SetEnv SITE_ROOT /home/virtual/site1/fst"
>
>
> 617 Ali Engin :)
>
> -----Original Message-----
> From: linux-guvenlik-bounce@liste.linux.org.tr
> [mailto:linux-guvenlik-bounce@liste.linux.org.tr] On Behalf Of Gokhan =
> Geyik
> Sent: Wednesday, April 28, 2004 10:13 AM
> To: linux-guvenlik@liste.linux.org.tr
> Subject: [linux-guvenlik] Re: FW: Re: tesekkurler :) (a milletnei=FEsbu =
> turkce
> karakter sorununu cozemedim)
>
> Merhaba,
> Apache'de=20
> <VirtualHost>
> </VirtualHost>
> arasina bir yere ekleyebilirsiniz.
> Ayrica yapiyi olusturabilirseniz ortak bir open_basedir'da isinizi
> gorecektir.
>
> Fakat tekrar soyluyorum.
> Butun bunlari yaptiginizi dusunsek bile executing fonksiyonlarinida
> yasaklamalisiniz.
>
> Iyi Calismalar
>
> On Wed, 2004-04-28 at 10:06, enginaar=A9 wrote:
> > Say=FDn Arkada=FE=FDm,
> > =20
> >=20
> > Anlatimin o kadar da k=F6p=FCk sayilmaz haksizlik etme kendine, en =
> azindan ne
> > demek istedigini anladim, kullandigim CP zaten dediklerini yapiyor =
> tahmin
> > ediyorum cunku her domain /home/virtual alt=FDnda siteno olarak kendi =
> /home
> > /var /usr vs. dizinlerine sahip ftp=92den ciktigi en yuksek dizin ona =
> gore
> =93/=94
> > o da /home/virtual/siteno/fst dizini demek oluyor bana gore. Kimsenin =
> de
> > ssh hakki yok, yaln=FDz gene kontrol etmek istiyorum ben makinam=FD =
> ama
> > virtualhost tanimlarken =93php_admin_value open_basedir =
> /usr/local/sites=94
> > satirini nereye ekliosun.
> >=20
> > =20
> >=20
> > 617 Ali Engin :)
> >=20
> > -----Original Message-----
> > From: linux-guvenlik-bounce@liste.linux.org.tr
> > [mailto:linux-guvenlik-bounce@liste.linux.org.tr] On Behalf Of Gokhan
> Geyik
> > Sent: Tuesday, April 27, 2004 6:27 PM
> > To: linux-guvenlik@liste.linux.org.tr
> > Subject: [linux-guvenlik] Re: FW: Re: tesekkurler :) (a millet =
> nei=FEsbu
> > turkce karakter sorununu cozemedim)
> >=20
> > =20
> >=20
> > Merhaba,
> >=20
> > Su Web hizmeti yuzunden olusabilecek aciga benim bir cozumumvar.
> >=20
> > Calistigim firmada uyguluyorum ve ise yariyor.
> >=20
> > =20
> >=20
> > Anlatmakta pek basarili degilim bu yuzden ornekler vererek anlatmam
> >=20
> > umarim sizler icin sorun olmaz.
> >=20
> > =20
> >=20
> > deneme.com isminde bir domaini host etmek istedigimizi bir dusunelim.
> >=20
> > Fakat bu musterinin iyi niyetli bir insan oldugunu sanmiyoruz.
> >=20
> > onu kontrol altinda tutabiliriz.
> >=20
> > =20
> >=20
> > "DocumentRoot'unun /usr/local/sites/deneme.com/" oldugunu varsayalim
> >=20
> > Eger bu musterimiz "/usr/local/" dizinine kadar cikabilirse bu bizim
> >=20
> > icin iyi olmaz.
> >=20
> > Cesitli konfigurasyon dosyalarimizi dahi okuyabilir.Belki iclerine
> >=20
> > onemli seyler yazmis olabiliriz.
> >=20
> > =20
> >=20
> > O halde virtualhost tanimlarken ona minik bir satir daha ekleyelim.
> >=20
> > =20
> >=20
> > php_admin_value open_basedir /usr/local/sites
> >=20
> > =20
> >=20
> > Bu satir onun sitesini bir nevi "chroot"
> >=20
> > calistiracaktir./usr/local/sites dizininden yukarisi onun icin =
> olmayacak
> >=20
> > ve boylece dosyalariniza erisemeyecektir.
> >=20
> > =20
> >=20
> > Tabi bunun yaninde
> >=20
> > shell_exec
> >=20
> > exec
> >=20
> > system
> >=20
> > passthru
> >=20
> > proc_open vb.
> >=20
> > =20
> >=20
> > fonksiyonlari yasaklamayi unutmamak lazim.
> >=20
> > =20
> >=20
> > Aslinda bu yaptigimiz chroot fazla ise yaramaycak.Daha iyi cozumlerde
> >=20
> > var.
> >=20
> > Tabii buna ek olarak.
> >=20
> > Ornegin apache'mizi patch edebiliriz(sanki herkes apache kullanir :) =
> ).
> >=20
> > Biz bu patchi yapiyoruz.Patch her virtualhost'un ayri bir usermis gibi
> >=20
> > calismasini sagliyor.
> >=20
> > Boylece chmod ile cok guzel seyler yapilabiliyor.
> >=20
> > CGI'da da bir cesit chroot saglamis oluyoruz.(mod_suid)
> >=20
> > =20
> >=20
> > Tum bunlari yaptiysan eger birkac minik ayarimiz kalmis demektir.
> >=20
> > Bunlardan biri "session save path" ve bir digeri "upload tmp dir".
> >=20
> > eger /usr/local/sites/ icersinde bir tmp olusturursak ve ilgili
> >=20
> > degiskenleri oraya atama yaparsak oldukca guvenilir bir sunucumuz olur
> >=20
> > diye dusunuyorum.
> >=20
> > =20
> >=20
> > Neticede open_basedir /usr/local/sites dizinine kadar cikabilir fakat
> >=20
> > sadece tmp dizininde is yapabilir.
> >=20
> > Cunku diger dizinler mod_suid kullandigimiz icin baska userlara ait.
> >=20
> > Okumak ve yazmak mumkun olmayacak.
> >=20
> > /usr/local/sites dizininin daha ustu o kullanici icin olmadigindan =
> baska
> >=20
> > yerlerede gidemeyecek.
> >=20
> > e bircok onemli function'i yasakladik.
> >=20
> > Bu yuzden olasi bir exploit calistiramaycak.
> >=20
> > =20
> >=20
> > Biz bu sekilde hizmet veriyoruz ve gayet memnunuz.Musterilerimizde
> >=20
> > memnun.Bu kisitlamayi hissetmeden her islerini gorebiliyorlar.
> >=20
> > Umarim kopuk anlatimim biraz aciklayici olmustur.
> >=20
> > =20
> >=20
> > Iyi Calismalar
> >=20
> > =20
> >=20
> >=20
> >=20
> >=20
> >=20
> > On Tue, 2004-04-27 at 09:24, enginaar=A9 wrote:
> >=20
> > > (Arial font kullaninca duzelir mi acaba. Bu arada beni flood=92dan
> atmazlar
> >=20
> > > umar=FDm. :-)))))
> >=20
> > > =20
> >=20
> > >=20
> >=20
> > >=20
> >=20
> > >=20
> >=20
> > > Mailime =FEimdi bakt=FDm ve san=FDr=FDm 1-2 saat ge=E7mi=FE, =
> m=FCsait oldu=F0un ba=FEka bi
> >=20
> > > zaman bana mail atabilirsin ama senin de exploit =
> yerle=FEtirmiycenden
> nas=FDl
> >=20
> > > emin olabilirim :) yeni hacklenmi=FE biri olarak y=FCksek paranoya
> >=20
> > > d=FCzeylerindeyim.=20
> >=20
> > >=20
> >=20
> > > =20
> >=20
> > >=20
> >=20
> > > Yav dedi=F0in program=FD buldum da onu kurucam sonra nas=FDl =
> kald=FDr=FDcam,
> >=20
> > > girmesinler makinaya gene. Bi de kernel update edicem etmesine ama
> dedi=F0im
> >=20
> > > gibi kulland=FD=F0=FDm CP daha yenilerini desteklemio.
> >=20
> > >=20
> >=20
> > > =20
> >=20
> > >=20
> >=20
> > > Bi de amma zahmetli i=FEmi=FE bu hackerl=FDk ya sen basit=E7e =
> anlat=FDrken bile
> >=20
> > > paragraf paragraf d=F6kt=FCrm=FC=FE=FCn millet bunla m=FD ura=FE=FDo =
> ya. Allah=FDm sen
> >=20
> > > insano=F0luna ak=FDl fikir ver yarabbim.
> >=20
> > >=20
> >=20
> > > =20
> >=20
> > >=20
> >=20
> > > Ali Engin
> >=20
> > >=20
> >=20
> > > =20
> >=20
> > >=20
> >=20
> > > -----Original Message-----
> >=20
> > >=20
> >=20
> > > From: linux-guvenlik-bounce@liste.linux.org.tr
> >=20
> > > [mailto:linux-guvenlik-bounce@liste.linux.org.tr] On Behalf Of Murat
> > =DE=DD=DEMAN
> >=20
> > >=20
> >=20
> > > Sent: Monday, April 26, 2004 5:10 PM
> >=20
> > >=20
> >=20
> > > To: linux-guvenlik@liste.linux.org.tr
> >=20
> > >=20
> >=20
> > > Subject: [linux-guvenlik] Re: te=FEekk=FCrler :)
> >=20
> > >=20
> >=20
> > > =20
> >=20
> > >=20
> >=20
> > > Sorun su sekilde oluyor.
> >=20
> > >=20
> >=20
> > > www.deneme.com/index.php?sayfa=3Dmain.php
> >=20
> > >=20
> >=20
> > > burda php main.php isimli dosyay=FD a=E7arak i=FElem yap=FDyor bu =
> sayede sisteme
>
> >=20
> > >=20
> >=20
> > > komut =E7al=FD=FEt=FDrt=FDlabiliyor. Bu a=E7=FD=F0=FD kontrol etmek =
> i=E7in dario.tar.gz=20
> >=20
> > >=20
> >=20
> > > isimli program=FD kullanabilirsin.
> >=20
> > >=20
> >=20
> > > =20
> >=20
> > >=20
> >=20
> > > Apache user olarak sisteme giren ki=FEi exploit kullanmak i=E7in =
> /tmp=20
> >=20
> > >=20
> >=20
> > > dizinin kullan=FDr. Wget ilde exploit kaynag=FDn=FD indirip ancak bu =
> dizinde=20
> >=20
> > >=20
> >=20
> > > derleme yapabilir. E=F0er kernel tutuyorsa "ki senin kernelinde root =
> olmak
>
> >=20
> > >=20
> >=20
> > > olduk=E7a basit" root olur, makinana rootkit kurar. Bu rootkit kendi =
>
> >=20
> > >=20
> >=20
> > > s=FCre=E7lerini gizler ve sen onu g=F6remezsin. ssh ve telnet =
> a=E7=FD=F0=FDn=FD=20
> >=20
> > >=20
> >=20
> > > kullanarak kullan=FDc=FD kendi belirledi=F0i porttan giri=FE yapar. =
> Bulman =E7ok=20
> >=20
> > >=20
> >=20
> > > ama =E7ok zorla=FE=FDr. Sisteminde rootkit taramas=FD yapt=FDr bu =
> i=FEe yarayabilir.
> >=20
> > >=20
> >=20
> > > =20
> >=20
> > >=20
> >=20
> > > E=F0er fazla kullan=FDc=FD hesab=FDn yoksa bunu i=E7eriden biriside =
> yapm=FD=FE=20
> >=20
> > >=20
> >=20
> > > olabilir diye d=FC=FE=FCnerek kullan=FDc=FDlar=FDn=FDn =
> dizinlerindeki dosyalar=FD=20
> >=20
> > >=20
> >=20
> > > kontrol et ".bash_history ve .sh_history" dosyalar=FDna bakmay=FD =
> sak=FDn=20
> >=20
> > >=20
> >=20
> > > unutma. Veya kullan=FDc=FD fazla isede basite indirgeyip cat=20
> >=20
> > >=20
> >=20
> > > /home/*/.bash_history | grep id uname hacked who gibi aramalar=20
> >=20
> > >=20
> >=20
> > > yapabilirsin. (sistemi hacklemeye =E7al=FD=FEanlar id uname who gibi =
> komutlar=FD
>
> >=20
> > >=20
> >=20
> > > =E7ok kullan=FDrlar)
> >=20
> > >=20
> >=20
> > > =20
> >=20
> > >=20
> >=20
> > > basit bir betik haz=FDrlay=FDp /tmp dizinini 2 =FEer veya 3 er =
> saatte bir=20
> >=20
> > >=20
> >=20
> > > yede=F0ini ald=FDr ve bunlar=FD kontrol et. yabanc=FD bir dosya =
> g=F6rd=FC=F0=FCn an=20
> >=20
> > >=20
> >=20
> > > olaya m=FCdahele etmen daha kolayla=FE=FDr. Belki o zamana kadar log =
> lar=FD=20
> >=20
> > >=20
> >=20
> > > silmemi=FE olur ve ordan ip vs.. adresini bulman kolayla=FE=FDr.
> >=20
> > >=20
> >=20
> > > =20
> >=20
> > >=20
> >=20
> > > Normal bir =FCyenin hesab=FDn=FD kullan=FDyor olabilir. Sen ne kadar =
> rootkitleri
>
> >=20
> > >=20
> >=20
> > > exploitleri silersen sil e=F0er bir kullan=FDc=FDn=FDn =FEifresini =
> biliyor ise onu
>
> >=20
> > >=20
> >=20
> > > kullanarak giri=FE yapar ve ayn=FDlar=FDn=FD tekrar eder. =
> Kullan=FDc=FDlar=FDn=FDn=20
> >=20
> > >=20
> >=20
> > > giri=FElerini loglardan takip etmeye cal=FDs ve =
> kar=FE=FDla=FEt=FDrma yap.
> >=20
> > >=20
> >=20
> > > =20
> >=20
> > >=20
> >=20
> > > /etc/passwd dosyan=FD bir g=F6zden ge=E7ir
> >=20
> > >=20
> >=20
> > > lp:0:0 gibi lp kullan=FDc=FDs=FDn=FD root grubuyla de=F0i=FEtirmi=FE =
> olabilir.=20
> >=20
> > >=20
> >=20
> > > /etc/shadow dan lp games gibi userlar=FDn =FEifresi olup =
> olmad=FD=F0=FDn=FD kontrol=20
> >=20
> > >=20
> >=20
> > > et. =DEifre varsa hemen yok et :)
> >=20
> > >=20
> >=20
> > > =20
> >=20
> > >=20
> >=20
> > > =DDlk ama ilk =F6nlem olarak en son s=FCr=FCm kerneli y=FCkle. =
> =C7=FCnk=FC root=20
> >=20
> > >=20
> >=20
> > > olabilmenin %80 ilk yolu kernel hatalar=FDd=FDr.
> >=20
> > >=20
> >=20
> > > =20
> >=20
> > >=20
> >=20
> > > =DEunu da unutma ne kadar g=FCvenlik =F6nlemi al=FDrsan al sonunda =
> yine sisteme=20
> >=20
> > >=20
> >=20
> > > girilir bir yol ile.
> >=20
> > >=20
> >=20
> > > =20
> >=20
> > >=20
> >=20
> > > Dilersen bana bir normal user a=E7 birlikte kontrol edelim rootkit =
> ve=20
> >=20
> > >=20
> >=20
> > > exploit olay=FDn=FD. 1-2 saatli=F0ine m=FCsaitim yapacak i=FE =
> ar=FDyordum.
> >=20
> > >=20
> >=20
> > > =20
> >=20
> > >=20
> >=20
> > >=20
> >=20
> > >=20
> --=20
> Gokhan Geyik <gokko@gmx.com.tr>
> gokko.net
>
> -- Attached file included as plaintext by Ecartis --
> -- File: signature.asc
> -- Desc: This is a digitally signed message part
>
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.2.4 (GNU/Linux)
>
> iD8DBQBAj1l6L/ljkurXIJoRAgg9AJ9IzHmQWurZH8TMB5RB72yCRV2KHwCgnAbI
> 3RiO1/0FuSoXiYR+ouKXEJs=3D
> =3D9rKr
> -----END PGP SIGNATURE-----
>
>
>
-- Gokhan Geyik <gokko@gmx.com.tr> gokko.net-- Attached file included as plaintext by Ecartis -- -- File: signature.asc -- Desc: This is a digitally signed message part
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux)
iD8DBQBAj6HpL/ljkurXIJoRAqEJAKDCUDRBqxAkzDX4kVZTZwcSfpgNHwCfczNQ jRBbY07WHoh8ZhTvJocTzBY= =+xsI -----END PGP SIGNATURE-----