Likes: 0
23/10/06 09:44
Het script draait dan niet meer -- maar het lek zit er dan nog steeds!
En de klanten ineens verplichten om <?php te gebruiken ipv <?... heel handig als je heel veel PHP-bestanden hebt met <? ! Mag je even, omdat de server blijkbaar niet (goed) beveiligd is, alles aanpassen anders heb je pech... :s
Vind ik een beetje dubbel...erg dubbel...
23/10/06 11:01
Nee, alleen tijdelijk. Dan zijn al die rare bestanden weg en werken alle scripts van je klanten weer. Na die re-install moet je natuurlijk snel wat gaan doen aan de beveiliging.Oorspronkelijk geplaatst door Bullcat
Ik zou zeggen:
- uitzoeken hoe ze binnen zijn gekomen
- re-install + lek dichten
Dit vind ik ook nog steeds geen goede oplossing. Ik weet niet precies wat voor klanten je hebt, maar het zijn toch niet allemaal scripters...? Als je een klant ertussen hebt zitten die er de ballen verstand van heeft, werkt zijn website niet meer vanwege een instelling die ineens veranderd...
Laatst gewijzigd door thrunx; 23/10/06 om 11:03.
23/10/06 11:05
beveliging
Little howto: een server beveiligen?
Edit je php.ini file
vervang: disable_functions =
door: disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open, chown, chmod
Vervolgens restart je apache
Dan installeer je Mod_Security
http://neowin.net/forum/lofiversion/...p/t272350.html gebruik die
turtorial om mod_security te installeren.
Vervolgens pas je de rules aan die op de volgende locatie te bezichtigen zijn.
http://www.gotroot.com/downloads/ftp...ity/rules.conf
en dan herstart je apache en ben je voor een deel beveiligd!
23/10/06 11:17
Het is ook geen OPLOSSING. Dat stel ik ook niet.
Het stopt het script van de aanvaller. Ja het zal een enkel script mogelijk stoppen. Overweeg dan zelf maar wat, behalve ervoor zorgen dat de server goed beveiligd is, het belangrijkste is.
Er zijn nog wel meer opties maar die ga ik maar niet meer noemen.. niet zoveel zin om daar ook weer op ieder detail een discussie te gaan voeren.
Wens ts veel sterkte.
23/10/06 23:59
Ja tot dat meneer die gein veranderd en dan ?Bij ons is de laatste de standaard omdat het altijd op alle servers werkt waar PHP op draait.
Citaatrigineel gepost door ol4pro
short tags ipv... maakt ook niets uit. Gewoon kijken wat in de decode staat, en uitzoeken wie die files upload.
Zorgt ervoor dat het script niet meer draait
Short term solutions ??
Hmmm..
24/10/06 00:09
Ik heb net geloof ik alle logs doorgekeken, maar echt duidelijkheid kan ik niet vinden.
Wel dat er op een gegeven moment ineens Find commando's worden gestart en even later sh commando's, deze 2 worden overigens tegen gehouden door mod_security die ook op alle servers draaid. Ik baal eigenlijk dat die .htaccess bestanden konden worden geplaatst bij gebruikers, en daarnaast ook nog eens in elke map dat php bestand. Ik vind trouwens nergens een upload of uitpakken en plaatsen van die handel !
Mijn techneut is vandaag aan het zoeken geweest, maar eigenlijk zou ik zelf ook wel eens willen weten waar ik op moet letten en in welke log dus !
Dus als iemand zich geroepen voelt om mij enige tekst en uitleg te geven over wat en hoe, hou ik mezelf aanbevolen !
Hans.
24/10/06 00:10
Het moge meer dan duidelijk zijn dat je dat doe om te voorkomen dat er OP DAT MOMENT informatie kan lekken.
Het moge ook duidelijk zijn dat je dan ALS DE GESMEERDE BLIKSEM uit ga zoeken wat hoe en vooral ook waar de aanvaller binnen is gekomen.
Als je short tags uit heb gezet mag je nog net een grote kan koffie halen en stop je niet meer voordat je klaar bent en het probleem op heb gelost.
Zo een beetje duidelijk???????????
24/10/06 09:45
Heb je eigenlijk wel openbase_dir restricties en safe_mode aanstaan? Als iemand dan bij een lek van een website naar binnenkomt hebben ze dan namelijk geen rechten verder op de server. Deze instellingen kan je maken in de php.ini.
Succes verder!
