Re: Problema [arulis @ 2010-10-15 14:20:03]

Tema: Re: Problema
Autorius: arulis
Data: 2010-10-15 14:20:03
taigi:

1. skyles - siuo atveju matyt php puslapiai . galima gal disable_functions
israsyti to ko tau tikrai nereikia  (exec visokius).  jeigu negali itakoti
puslapiu (pvz klientai hostinasi) 
2. /tmp/ ; /var/tmp mountinami noexec, nosuid flagais. jei /tmp bendram
kataloge, darai koki tmpfaila, ir ji mountini
3.firewallas
4. kitos priemones is kernelio puses - Apparmor pas SUSE, Selinux
Redhate/centose




arulis wrote:

> tai vat sitas shudas /var/tmp/vi.recover/sshd
> 
> ir yra tavo zombis/trojanas ar kaip pavadinsi. o jo pavadinimas sshd - tik
> klaidinimas.  jei tai ELF binary failas ne koks perlo skriptas, tai chrien
> zino ka jis ten daro.
> 
> paprastai patenkama per visokius php bugovus saitus.
> problemos nepasalinsi taip tik istrynes ir perkroves serveri, vel ikis tau
> ja. reikia iskoti skyliu.
> 
> 
> 
> Idomu wrote:
> 
>> Na va "Aruli"
>>> ls -l /proc/9858/exe
>> lrwxrwxrwx  1 apache apache 0 Oct 15 12:58 /proc/9858/exe ->
>> /var/tmp/vi.recover/sshd:
>> bet cia susikuria faila, kai bando jungtis, taip juk ir turi buti mano
>> nuomone...?"arulis" <aruliss@gmail.com> wrote in message
>> news:i995d5$9bt$1@trimpas.omnitel.net...> na pvz
>>> ls -l /proc/2761/exe
>>> lrwxrwxrwx 1 root root 0 2010-10-15 12:33 /proc/2761/exe ->
>>> /sbin/mingetty
>>>
>>>
>>> gali buti kad failas paleistas, o jo pacio jau nebera (istrintas), bet
>>> linka
>>> turi rodyti (bus deleted uzrasas)
>>>
>>> taip pat cwd linkas, is kurios dir paleista pamatysi
>>>
>>>
>>>
>>>
>>>
>>> Idomu wrote:
>>>
>>>> na uzejau i /proc ten susiradau pagal 27784 ir matau exe stoviu, o
>>>> linko negaliu paziureti, nes ssh neveikia, cia is serveriai.lt per
>>>> webmina ziuriu file manager ir command shell, tik jei naudojuosi, o ssh
>>>> netinka slaptazodis, tai nezinau kaip linka paziureti..... :(
>>>> o /tmp nestovi sshd zinok.. cia tik .ICE-unix ir .webmin....
>>>> pasiklydes as problemos issprendime, gal Jus "Aruli" galite dar kazka
>>>> man galite pagelbeti...?
>>>>
>>>> "arulis" <aruliss@gmail.com> wrote in message
>>>> news:i994iu$7uq$1@trimpas.omnitel.net...
>>>>> arulis wrote:
>>>>>
>>>>>>> tcp 0 1 www.xxx.xxx:42836 www.irrp.org.ua:ircd
>>>>>>> SYN_SENT 20227/sshd:
>>>>>
>>>>> eini i /proc/20227 - ten ieskai koks linkas veda i "exe" ,  kas cia
>>>>> per sshd - greiciausiai koks skriptas paleistas per apachiu . sshd cia
>>>>> matyt neprieko , bus koks /tmp/sshd pakistas per apachiu .
>>>>>
>>>>>
>>>