From: Serkan Kenar (serkan@ieee.metu.edu.tr)
Date: Mon 18 Apr 2005 - 14:49:42 EEST
The RED wrote:
>
> /var/tmp dizininde .bash_history oluşmuş. Sunucudaki exploit bir shell
> hesabı açıyor herhalde ve ev dizinini /var/tmp olarak veriyor. Normalde
> hiçbir kullanıcının shell izni yok. (sunucu web sunucu)
> /var/tmp/.bash_history dosyasının içeriği:
rootkit kurulmus bir sisteme artik kesinlikle guvenemezsiniz. Kernel
modulleri yuklenmis olabilir, ls, ps, vs.vs. gibi onemli toollarinizin
exploitli versiyonlari kurulmustur, vs.vs. En iyisi sifirdan kurulum
yapin. Yeni kurulumda da asagidaki onerilerimi dikkate alirsaniz, biraz
daha guvenilir bir sisteminiz olabilir.
>> Birileri sürekli /tmp ve /var/tmp dizinlerine r0nin vs. gibi dosyalar
>> yerleştirip çalıştırıyorlar. Az önce de "atac" isimli bri şey
>> yüklenmiş ve
>> biraz önce bri atak yapıldı. 200-300 tane çalıştırılmış. ddos atağı
>> yapılıyor herhalde sunucu üzerinden. /var/tmp ve /tmp dizinlerindeki
>> dosyaların çalıştırılmasını nasıl önleyebilirim bilen yok mu?? Isletim
>> sistemi: Fedora core 1, kernel 2.4.22-1.2115.nptl,
Genel bir politika olarak ilk kurulum sirasinda /var ve /tmp'yi ayri
partitionlara alirim. Daha sonra bunlari sisteme mount ederken, noexec
parametresini eklerseniz, bu dizinler altindaki dosyalar calistirilamaz.
/dev/hda12 /var ext3
nosuid,noexec,nodev 1 2
Su asamada eger bu partitionlari ayirmamissaniz, calistirilmalarini
onlemek mumkun olmayabilir.
Bunun yani sira, PHP guvenlik ayarlarinizi gozden gecirin. Mumkunse,
apache sunucunuzu chroot-jail'e alin. Guvenlik icin yapilmasi gereken
cok is var. Default bir kurulum, her zaman dikkatle tasarlanmalidir.
Ozellikle Fedora gibi daha cok masaustune yonelmis dagitimlarin
guvenligine supheyle yaklasmak gerekir.
saygilarimla,
_______________________________________________
Linux-guvenlik mailing list
Linux-guvenlik@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik