The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Разбор истории взлома одного Linux-сервера

02.10.2009 17:33

В заметке представлен разбор событий, связанных со взломом сервера, выполняющего роль коммерческого хостинга сайтов. Кратко ход событий: взлом уязвимого web-приложения (Joomla), загрузка в /tmp бэкдора, получение доступа в shell с правами nobody, получение root-прав через уязвимость Linux ядра, установка руткита для mysql и замена некоторых системных программ.

  1. Главная ссылка к новости (http://habrahabr.ru/blogs/info...)
  2. OpenNews: Обнаружен первый ботнет из инфицированных web-серверов
Автор новости: Повелитель Серверов
Лицензия: CC-BY
Тип: яз. русский / Обобщение
Короткая ссылка: https://opennet.ru/23702-server
Ключевые слова: server, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (11) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, mma (?), 18:52, 02/10/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    насколько я понял если был бы selinux то ничего подобным способом не вышло бы дальше взлома джумалы? Или нет?
    1)они бы не смогли запустить данный скрипт из tmp?
    2)если все таки запустили в контексте апача то никуда приконнектится дальше локалхоста он им не даст что бы загрузить "инструменты"
    3)ну итд по нюансам.......
     
     
  • 2.4, Аноним (-), 19:13, 02/10/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>1)они бы не смогли запустить данный скрипт из tmp?

    для этого достаточно noexec поставить на /tmp, разве нет? Только это не защищает от копирования файла куда-то еще, если такие права есть.

     
     
  • 3.5, Аноним (-), 19:44, 02/10/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, selinux бы защитил. Не дал бы записать в tmp из под joomla, если она наследовала контекст апача даже при влзоме, для начала, ну и далее по пунктам. Конечно, selinux нифига не панацея от кривых рук, ну как это часто бывает - подходит скриптописатель к админу и ноет "дяденька, а мне вот в /tmp файлик создать надо из cgi, а ошибка вылазит..". Ну админа чем в дискуссии пускаться снимает selinux ограничение для cgi скриптов на запись в /tmp и вперед. Очень типичная ситуация, регулярно наблюдаю..

    noexec не делает ничего. Для шеллового скрипта обходит noexec через /bin/sh file.sh, аналогично для перла, питона и тд, а бинарник выполняется через /lib/ld-linux.so.2 <имя бинаря> (ну или /lib64/ld-linux-x86-64.so.2). При любом методе на noexec все кладут.

     

  • 1.3, chemtech (?), 19:07, 02/10/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Там же написано: "по причине желания экономии на сисамдине заказчиком"
     
  • 1.6, аноним (?), 20:38, 02/10/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да не превращайте вы opennet в журнал хакер! банальный взлом вебсервер. :((( не нужно сюда с хабра копировать:(((
     
  • 1.7, Аноним (-), 21:59, 02/10/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Что-то на хабре - 404
     
     
  • 2.8, anonymous (??), 22:06, 02/10/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Что-то на хабре - 404

    +1

     
     
  • 3.9, nowinter (?), 01:09, 03/10/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>Что-то на хабре - 404
    >
    >+1

    прочли и сразу вззззломали )))

     
  • 2.10, аноним (?), 02:15, 03/10/2009 [^] [^^] [^^^] [ответить]  
  • +/
    потому что даже там это удалили, а сюда это прошло в мининовости
     
     
  • 3.11, Аноним (-), 10:06, 03/10/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >потому что даже там это удалили, а сюда это прошло в мининовости

    IMHO, весьма поучительная и полезная заметка была.


     
  • 2.12, linecommander (ok), 14:09, 08/10/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Что-то на хабре - 404

    у меня нет ошибки, всё открылось

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру