Цитата |
---|
GR пишет: Потом очень здорово что сек лаб честно признались в факте взлома, |
Цитата |
---|
GR пишет: начинает возмущаться "БОЖЕ МОЙ, НАС ПЫТАЛИСЬ ПОЛОМАТЬ! МТУ ПРИМИТЕ МЕРЫ!" |
24.07.2005 18:29:23
nmalykh
А почему на сервере для защиты от выполнения команд через уязвимые скрипты, тем более при наличии phpBB, не используется safe_mode и/или дополнительные меры вроде запрета опасных функций(что может включаться с точностью до вхоста либо глобально, в php.ini) и почрутеный апач? Какой пример Вы подаете молодежи?! <VirtualHost blah.com> ... <IfModule sapi_apache2.c> php_value disable_functions "dl,shell_exec,exec,system,passthru,popen,proc_open,proc_nic e,proc_get_status,\ proc_close,proc_terminate,posix_mkfifo" php_admin_flag safe_mode on php_admin_flag allow_url_fopen off php_value open_basedir "/var/www/blah.com/" </IfModule> </VirtualHost> Для Apache 1.3.x s/sapi_apache2.c/mod_php.c/ Логи действительно забавные, особенно второй - победа была так близка! ))) Если бы это был более продвинутый кид, то задействовал бы скрипты для заливки либо include и после получения шелла солярине могло бы стать ой... |
|
|
|
24.07.2005 18:37:25
|
|||
|
|
24.07.2005 22:09:38
nmalykh, большое спасибО!
|
|
|
|
25.07.2005 00:58:17
localhost ~ # emerge -pv phpBB
These are the packages that I would merge, in order: Calculating dependencies !!! All ebuilds that could satisfy "phpBB" have been masked. !!! One of the following masked packages is required to complete your request: - www-apps/phpBB-2.0.17 (masked by: package.mask, ~x86 keyword) # Aaron Walker <ka0ttic@gentoo.org> (30 Jun 2005) # Masked due to constant security bugs. ---------- забавно =) |
|
|
|
25.07.2005 03:20:26
Сорри действительно секъюрити лаб ни где не упоминается , почему я решил что это имеет отнашение к ним хз... принашу извенения, по поводу второго простите, а как еще расценить следующее : "Кстати, после завершения анализа администраторам MTU было направлено письмо с записями, подтверждающими факт инцидента, но они сочли возможным игнорировать это обращение." ?????? причем автор говарит что он обратился к обоим провам, и сокрушается по поводу что они ни чего не предприняли.... если есть другое объяснение выскажите его , пока я склонен расценивать это как обращение с просьбой именно принять меры...если бы автор просто уведомил их ему бы было плювать среагировали они или нет. |
|||||||
|
|
25.07.2005 09:43:08
Автор констатирует факт. И все. Только то, что он обратился к провам, как всякий сознательный администратор. Далее в обсуждении он сообщает, что в большинстве случаев провайдер реагирует. Цитату приветсти? Флейм про "засудим" раздулся в форуме, в чем виноват и я, в том числе. Каюсь. Уже дела прова, что предпринимать, смотреть ли что там у товарища за троян стоит, или предупредить что бы хакал - но только через прокси. В любом случае, было бы неплохо, что бы провайдер просто сказал - ок, письмо получили. Но это отнюдь не обязательно. А то что там рассказывал Panas333 про страшное раскрытие личности и уход к другому провайдеру, просто умиляет. ЛЮБОЙ провайдер будет просто счатлив, если все кул и не кул хакеры уйдут к конкуренту. Служба abuse, как не странно, наоборот повышает качество обслуживания клиентов. Знаю я одного провайдера в nnov.ru так у него и перегруз smtp трафика мониторится и клиентов могут заскать на предмет релеев и соксов (это в договоре прописано, если что) уже не один год, и удивитесь - клиенты просто счастливы. И не знают, что это такое - разборки с провайдером по поводу лишних надцати мегабайт траффа который "я не брал!!". А то что десяток "нетвариоров" у которых "реверсшел не проходит" уйдут к другому провайдеру... Да я вас умоляю. |
|||
|
|
25.07.2005 10:25:34
|
|||
|
|
25.07.2005 10:31:53
|
|||
|
|
25.07.2005 13:17:06
При любом раскладе все это езначительно, ибо я , повтарюсь, думал что это относится к секюрити лаб (еще раз сори), поэтому то и среагировал так....
ЗЫ В моей практике админы провайдеров не горят желанием сообщать о своих реакциях Так что может статься (а скорее всего именно так и было) с виновным расторгли в тихарину договор и все . |
|
|
|
03.08.2005 20:03:35
|
|||
|
|
11.08.2005 22:04:36
1) отзывчивость российских
сисадминов? это вымысел, все попытки выяснить что-либо о подозрительном трафике оканчиваются молчанием 2) Преступление и наказание если атака проводится через анонимные прокси и у вас не правительственый сайт, не теряйте время - никто не поможет 3) все-таки не стоит ставить на серверы форумы, которые каждый месяц занимают вершины хит-парадов-уязвимостей и как тут верно подметили есть еще mod_security =) |
|
|
|
18.10.2005 15:08:19
Пипл, а не кажется ли вам, что расследование инцидентов - очень благодатная тема? Если написать живым и интересным языком - читать можно запоями.
|
|
|
|
30.12.2005 21:57:50
Kak залить файл на форум phpBB
|
|
|
|
06.09.2006 15:50:11
Неплохая статейка, есть тут свежая мысля насчет config.inc.php
|
||||
|
|
|||