PDA

Bekijk Volledige Versie : Hackattempt herkenning



FransVanNispen
06/09/06, 13:03
Beste conculega's,

Het is ons opgevallen dat veruit de meeste hack pogingen gedaan worden door een simpele include file te overschrijven via de URL of daar een System() call in te verwerken.

Nu is het eenvoudig om safe mode aan te zetten om de mogelijkheden van PHP's system call te beperken, maar dan werkt er zowat geen een gallery script meer.

De andere pogingen maken misbuik van variablen in includes:

<?php
include_once($myroot."/blbb");
?>

Via de URL wordt door de hacker dan voor $myroot een eigen bestand opgegeven. Meestal een .txt. In de logs is dit gemakkelijk terug te vinden door te zoeken naar regels met '=http' omdat die includes van een externe locatie komen.

Is er dan ook niet een Apache module waarmee je dit soort pogingen kunt voorkomen?

Natuurlijk hebben we alle download apps gechmod naar root only, maar als er een optie is om via bovenstaande weg te uploaden, valt ons steeds meer op dat ze toch blijven proberen.

En als het uiteindelijk niet lukt, uppen ze een UDP flood om te pesten (slechte verliezers die hackers).

Welke mods gebruiken jullie om de veiligheid extra te verhogen? En wat is het doel van de betreffende mod?

jinxedworld
06/09/06, 13:04
Het volgende rijtje gebruiken we standaard:

mod_security
mod_evasive
mod_ruid

Voor mod_security kan ik de gotroot regels aanraden. Wel even een schifting in maken, want als je alle rules inlaad veroorzaakt dat nogal een flinke load.

Ook een idee om bastille even te draaien, deze regelt erg veel dingen voor je, én legt precies uit wat ie aan het doen is. Leer je ook een hoop van.

Uiteraard ook de standaard dingetjes, zoals compilers disablen, tmpdir beveiliging en meer van dat soort dingetjes.

Mikey
06/09/06, 13:15
ik wil toch een stukje quoten over mod_ruid:

there are some security issues, for instance if attacker successfully exploits the httpd process, he can set effective capabilities and setuid to root. i recommend to use some security patch in kernel (grsec), or something

Neem ook eens een kijkje naar su_php, ook hier kan een hele discussie over gestart worden, maar ik gebruik het met volle tevredenheid. Dan maar minder websites op een server, als dat een hoop problemen en tijd verhelpt is voor mij de keus snel gemaakt.

caligula
06/09/06, 13:29
De beste oplossing voor de huidige golf exploits is simpel:

* Faseer register_globals uit
* Faseer allow_url_fopen uit

Gegroet!