URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 59535
[ Назад ]
Исходное сообщение
"Разбор истории взлома одного  Linux-сервера"
Отправлено opennews , 02-Окт-09 18:38 
В заметке (http://habrahabr.ru/sandbox/5698/) представлен разбор событий, связанных со взломом сервера, выполняющего роль коммерческого хостинга сайтов. Кратко ход событий: взлом уязвимого web-приложения (Joomla), загрузка в /tmp бэкдора, получение доступа в shell с правами nobody, получение root-прав через уязвимость Linux ядра, установка руткита для mysql и замена некоторых системных программ.

URL: http://habrahabr.ru/sandbox/5698/
Новость: http://www.opennet.me/opennews/art.shtml?num=23702

Содержание
Сообщения в этом обсуждении
"Разбор истории взлома одного  Linux-сервера"
Отправлено mma , 02-Окт-09 18:52 
насколько я понял если был бы selinux то ничего подобным способом не вышло бы дальше взлома джумалы? Или нет?
1)они бы не смогли запустить данный скрипт из tmp?
2)если все таки запустили в контексте апача то никуда приконнектится дальше локалхоста он им не даст что бы загрузить "инструменты"
3)ну итд по нюансам.......
"Разбор истории взлома одного  Linux-сервера"
Отправлено Аноним , 02-Окт-09 19:13 
>>1)они бы не смогли запустить данный скрипт из tmp?

для этого достаточно noexec поставить на /tmp, разве нет? Только это не защищает от копирования файла куда-то еще, если такие права есть.

"Разбор истории взлома одного  Linux-сервера"
Отправлено Аноним , 02-Окт-09 19:44 
Да, selinux бы защитил. Не дал бы записать в tmp из под joomla, если она наследовала контекст апача даже при влзоме, для начала, ну и далее по пунктам. Конечно, selinux нифига не панацея от кривых рук, ну как это часто бывает - подходит скриптописатель к админу и ноет "дяденька, а мне вот в /tmp файлик создать надо из cgi, а ошибка вылазит..". Ну админа чем в дискуссии пускаться снимает selinux ограничение для cgi скриптов на запись в /tmp и вперед. Очень типичная ситуация, регулярно наблюдаю..

noexec не делает ничего. Для шеллового скрипта обходит noexec через /bin/sh file.sh, аналогично для перла, питона и тд, а бинарник выполняется через /lib/ld-linux.so.2 <имя бинаря> (ну или /lib64/ld-linux-x86-64.so.2). При любом методе на noexec все кладут.

"Разбор истории взлома одного  Linux-сервера"
Отправлено chemtech , 02-Окт-09 19:07 
Там же написано: "по причине желания экономии на сисамдине заказчиком"
"Разбор истории взлома одного  Linux-сервера"
Отправлено аноним , 02-Окт-09 20:38 
Да не превращайте вы opennet в журнал хакер! банальный взлом вебсервер. :((( не нужно сюда с хабра копировать:(((
"Разбор истории взлома одного  Linux-сервера"
Отправлено Аноним , 02-Окт-09 21:59 
Что-то на хабре - 404
"Разбор истории взлома одного  Linux-сервера"
Отправлено anonymous , 02-Окт-09 22:06 
>Что-то на хабре - 404

+1

"Разбор истории взлома одного  Linux-сервера"
Отправлено nowinter , 03-Окт-09 01:09 
>>Что-то на хабре - 404
>
>+1

прочли и сразу вззззломали )))

"Разбор истории взлома одного  Linux-сервера"
Отправлено аноним , 03-Окт-09 02:15 
потому что даже там это удалили, а сюда это прошло в мининовости
"Разбор истории взлома одного  Linux-сервера"
Отправлено Аноним , 03-Окт-09 10:06 
>потому что даже там это удалили, а сюда это прошло в мининовости

IMHO, весьма поучительная и полезная заметка была.


"Разбор истории взлома одного  Linux-сервера"
Отправлено linecommander , 08-Окт-09 14:09 
>Что-то на хабре - 404

у меня нет ошибки, всё открылось