banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Hướng dẫn chống hack local (rất hiệu quả)(Apache web server)  XML
  [Question]   Hướng dẫn chống hack local (rất hiệu quả)(Apache web server) 14/08/2006 10:35:07 (+0700) | #1 | 14858
ketusa
Member

[Minus]    0    [Plus]
Joined: 11/04/2006 12:39:49
Messages: 3
Offline
[Profile] [PM]
đầu tiên login dô root account

các bạn mở file "php.ini" trong pico editor

[ pico /usr/local/lib/php.ini ]

tìm "safe_mode"

[ Ctrl + W and type "safe_mode" ]

đổi Off thành On

[ "safe_mode = Off" to "safe_mode = On" ]

tìm "disabled_functions"

[ Ctrl + W and type "disabled_functions" ]

và add theo functions

[system, exec, shell_exec, passthru, pcntl_exec, putenv, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, popen, pclose, set_time_limit, ini_alter, virtual, openlog, escapeshellcmd, escapeshellarg, dl, curl_exec, parse_ini_file, show_source]

sau đó save lại
[ Ctrl + X then Y ]

retart lại Apache web server
[ /etc/init.d/httpd restart ]

done. bây h hết sợ hack local rồi nhá smilie)

chú ý nên backup php.ini trước khi bắt đầu. hehe


[Up] [Print Copy]
  [Question]   Re: Hướng dẫn chống hack local (rất hiệu quả)(Apache web server) 14/08/2006 10:58:31 (+0700) | #2 | 14863
vietwow
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 13:15:47
Messages: 90
Offline
[Profile] [PM]
Mình nghĩ như vậy chưa đủ, cần phải chmod thật kỹ các thư mục, file => Cái này thì dựa vào kinh nghiệm chứ mình thấy ko có sách vở nào chỉ, ai rành thì xin share 1 vài kinh nghiệm về việc chmod cho hệ thống của mình chặt chẽ :twisted:

Thứ 2 mình nghĩ việc disable safemod khó mà khả thi đối với các shared-host server bởi vì nếu tắt safemod sẽ ảnh hưởng khá nhiều đối với 1 số script php (dĩ nhiên những script mình nói ở đây là vô hại chứ ko phải backdoor smilie )

Anyway thanks :wink:
[Up] [Print Copy]
  [Question]   Hướng dẫn chống hack local (rất hiệu quả)(Apache web server) 18/08/2006 10:23:14 (+0700) | #3 | 15862
[Avatar]
sup3rmm
Member

[Minus]    0    [Plus]
Joined: 17/08/2006 22:14:28
Messages: 21
Offline
[Profile] [PM]
Việc bật safemod có thể gây 1 số khó khăn cho người lập trình.Đây là cách chmod tham khảo của Bluehost(host được đánh giá cao về độ thoải mái mà vẫn bảo mật tốt) chống local attack

drwxr-x--x 671 root wheel 16296 Aug 14 15:47 /home/
drwx--x--- 14 user nobody 760 Aug 17 08:10 /home/user
drwxr-xr-x 16 user user 1128 Aug 7 01:12 /home/user/public_html

Ngoài ra để chống local attack còn phải áp dụng nhiều biện pháp khác từ việc config firewall (vd:chống mở port, lấy shell .. ),secure database (vd:mysql có nhiều câu truy vấn nguy hiểm..).Mình nghĩ chống local attack ko phải là việc khó .Các bạn có thể tham khảo các manual cuả php và mysql trong đó có hướng dẫn khá cặn kẽ về việc security này
[Up] [Print Copy]
  [Question]   Hướng dẫn chống hack local (rất hiệu quả)(Apache web server) 18/08/2006 22:59:44 (+0700) | #4 | 15950
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

ketusa wrote:
đầu tiên login dô root account

các bạn mở file "php.ini" trong pico editor

[ pico /usr/local/lib/php.ini ]

tìm "safe_mode"

[ Ctrl + W and type "safe_mode" ]

đổi Off thành On

[ "safe_mode = Off" to "safe_mode = On" ]

tìm "disabled_functions"

[ Ctrl + W and type "disabled_functions" ]

và add theo functions

[system, exec, shell_exec, passthru, pcntl_exec, putenv, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, popen, pclose, set_time_limit, ini_alter, virtual, openlog, escapeshellcmd, escapeshellarg, dl, curl_exec, parse_ini_file, show_source]

sau đó save lại
[ Ctrl + X then Y ]

retart lại Apache web server
[ /etc/init.d/httpd restart ]

done. bây h hết sợ hack local rồi nhá smilie)

chú ý nên backup php.ini trước khi bắt đầu. hehe


 


Hey còn một hàm cực kì nguy hiểm khác mà đồng chí không nêu ra ,nếu còn để lọt hàm cơ bản này thì việc bật safe_mode của php.ini là vô nghĩa

Hàm: ini_set();

He tui đã dùng hàm này gắn vô r57 và c99 để bypass mấy cái server bật safe_mode đc nhiều năm rồi :twisted:
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Question]   Hướng dẫn chống hack local (rất hiệu quả)(Apache web server) 29/08/2006 03:42:04 (+0700) | #5 | 18778
Phan Kieu Bang Nhan
Member

[Minus]    0    [Plus]
Joined: 26/08/2006 18:14:32
Messages: 3
Offline
[Profile] [PM]
Hix Anh nào cò con r57 thì share cho em với nhé
[Up] [Print Copy]
  [Question]   Hướng dẫn chống hack local (rất hiệu quả)(Apache web server) 31/08/2006 02:41:30 (+0700) | #6 | 19311
[Avatar]
baothu
Elite Member

[Minus]    0    [Plus]
Joined: 15/09/2003 02:42:15
Messages: 57
Offline
[Profile] [PM]
Theo mình host bảo mật nhất có lẽ là yahoo và 1and1,bluehost vẫn có người bypasss dc
[Up] [Print Copy]
  [Question]   Hướng dẫn chống hack local (rất hiệu quả)(Apache web server) 14/09/2006 05:37:39 (+0700) | #7 | 23146
BigballVN
Elite Member

[Minus]    0    [Plus]
Joined: 12/06/2005 07:25:21
Messages: 610
Offline
[Profile] [PM]
Zend nó lại
[Up] [Print Copy]
  [Question]   Hướng dẫn chống hack local (rất hiệu quả)(Apache web server) 15/09/2006 00:00:06 (+0700) | #8 | 23350
[Avatar]
kid_b0d
Member

[Minus]    0    [Plus]
Joined: 16/08/2006 00:49:55
Messages: 70
Location: Phan thiết, Bình thu
Offline
[Profile] [PM] [WWW]
Hey còn một hàm cực kì nguy hiểm khác mà đồng chí không nêu ra ,nếu còn để lọt hàm cơ bản này thì việc bật safe_mode của php.ini là vô nghĩa

Hàm: ini_set();

He tui đã dùng hàm này gắn vô r57 và c99 để bypass mấy cái server bật safe_mode đc nhiều năm rồi  

bác hackernohat có thể nói rõ vấn đề này được không ?
[Up] [Print Copy]
  [Question]   Hướng dẫn chống hack local (rất hiệu quả)(Apache web server) 18/09/2006 05:23:42 (+0700) | #9 | 24032
navaro
Member

[Minus]    0    [Plus]
Joined: 27/06/2006 20:54:35
Messages: 8
Offline
[Profile] [PM]
ini_set(); hàm này dùng để set các giá trị trong php.ini, nếu không nhầm thì chắc bác hackernohat đã dùng hàm này để chuyển safe mod thành off hay dis function smilie
[Up] [Print Copy]
  [Question]   Hướng dẫn chống hack local (rất hiệu quả)(Apache web server) 24/09/2006 22:19:26 (+0700) | #10 | 25483
[Avatar]
micimacko
Member

[Minus]    0    [Plus]
Joined: 08/10/2004 21:23:39
Messages: 9
Location: hell
Offline
[Profile] [PM]
ini_set cũng tương tự như ini_alter , chắc pác kia viết thiếu smilie
[Up] [Print Copy]
  [Question]   Hướng dẫn chống hack local (rất hiệu quả)(Apache web server) 24/09/2006 22:21:01 (+0700) | #11 | 25485
[Avatar]
micimacko
Member

[Minus]    0    [Plus]
Joined: 08/10/2004 21:23:39
Messages: 9
Location: hell
Offline
[Profile] [PM]
các pác đã thấy Host nào dis triệt để thế này chưa smilie)

exec, system, passthru, proc_open, shell_exec,
dl, popen, pclose, fsockopen, pfsockopen, getrusage
alter_ini, set_ini, ini_restore
set_time_limit, leak, listen, virtual
mysql_list_dbs, mysql_pconnect, mysql_create_db, mysql_drop_db, mysql_get_client_info, mysql_get_host_info, mysql_get_proto_info, mysql_db_name
phpcredits, php_logo_guid, zend_logo_guid, php_uname
getmyuid, getmygid, getmypid, getmyinode, get_current_user
syslog, openlog, fopenstream
chroot, chown, chgrp
disk_free_space, disk_total_space, diskfreespace
filegroup, fileinode, fileowner
link, readlink, symlink

curl=off
 
choáng, shell up lên cóng luôn :lolsmilie
[Up] [Print Copy]
  [Question]   Hướng dẫn chống hack local (rất hiệu quả)(Apache web server) 03/12/2006 00:13:50 (+0700) | #12 | 27535
[Avatar]
Luke
Elite Member

[Minus]    0    [Plus]
Joined: 05/09/2002 13:21:20
Messages: 83
Offline
[Profile] [PM]
bluehost vẫn bị bypass ầm ầm
[Up] [Print Copy]
  [Question]   Hướng dẫn chống hack local (rất hiệu quả)(Apache web server) 03/12/2006 01:00:58 (+0700) | #13 | 27542
[Avatar]
hoahongtim
Researcher

Joined: 15/07/2002 02:59:49
Messages: 156
Location: Underground
Offline
[Profile] [PM] [WWW] [Yahoo!]
safe_mod bluehost là do người dùng tự set chứ bypass cái gì smilie
[Up] [Print Copy]
  [Question]   Hướng dẫn chống hack local (rất hiệu quả)(Apache web server) 03/12/2006 01:43:20 (+0700) | #14 | 27549
[Avatar]
hieuhoc
Member

[Minus]    0    [Plus]
Joined: 08/09/2006 21:57:39
Messages: 103
Offline
[Profile] [PM]

Luke wrote:
bluehost vẫn bị bypass ầm ầm
 

cái này em mới nghe có thiệt không pác?chứ em có shell ở blue host nhưng local thì em pó từ đầu tới chân pác cho em yim hoc hỏi tí được không ?
[Up] [Print Copy]
  [Question]   Hướng dẫn chống hack local (rất hiệu quả)(Apache web server) 07/12/2006 04:57:50 (+0700) | #15 | 28520
[Avatar]
phamquoc_truong
Elite Member

[Minus]    0    [Plus]
Joined: 04/04/2004 07:54:12
Messages: 79
Location: PeaceWorld
Offline
[Profile] [PM]
Bluehost có thể bị hack local ? Có ai có thể khẳng định điều nay không ?
Nếu thay đổi php.ini như thành như trên thì có tránh đc hack local ở bluehost không ?

Thanks!
[Up] [Print Copy]
  [Question]   Hướng dẫn chống hack local (rất hiệu quả)(Apache web server) 11/02/2007 22:15:48 (+0700) | #16 | 41182
kids0407
Member

[Minus]    0    [Plus]
Joined: 06/01/2007 15:12:43
Messages: 5
Offline
[Profile] [PM]
hi hi theo em là cực kì đơn giản smilie đây là cách em thường làm
chmod cho admincp là 700 cùng lắm là 000, hoặc vào admincp xoá file index.php vào thùng rác , khi nào muốn vào admincp thì restore file index.php hoặc chmod lại 755 or 777 smilie
[Up] [Print Copy]
  [Question]   Hướng dẫn chống hack local (rất hiệu quả)(Apache web server) 20/12/2009 13:17:28 (+0700) | #17 | 201385
heroes1412
Member

[Minus]    0    [Plus]
Joined: 19/10/2008 21:22:30
Messages: 11
Offline
[Profile] [PM]
Mấy cái nì em thấy chỉ chống được php shell thui chứ đập cgi-telnet shell vào thì .....................
[Up] [Print Copy]
  [Question]   Hướng dẫn chống hack local (rất hiệu quả)(Apache web server) 20/12/2009 17:14:56 (+0700) | #18 | 201404
[Avatar]
holiganvn
Member

[Minus]    0    [Plus]
Joined: 08/05/2009 19:29:45
Messages: 370
Location: Cố Đô Huế
Offline
[Profile] [PM]
xin mọi người bớt ít thời gian đọc qua chủ đề này,vì em thấy chủ này rất hay,viết vấn đề Local Attack:

/hvaonline/posts/list/11448.html ,rất bổ ích cho ai mới học cái này smilie
HaCk t0 LeArN,N0t LeArN t0 HaCk
[Up] [Print Copy]
  [Question]   Hướng dẫn chống hack local (rất hiệu quả)(Apache web server) 13/12/2012 18:02:57 (+0700) | #19 | 271815
Thunn
Member

[Minus]    0    [Plus]
Joined: 30/05/2005 06:36:43
Messages: 2
Offline
[Profile] [PM]

Phan Kieu Bang Nhan wrote:
Hix Anh nào cò con r57 thì share cho em với nhé 


Xin lỗi mọi người nhé. Mặc dù topic này đã rất lâu rồi nhưng mình vẫn muốn mở lại.
Chả là thế này, hôm nay mát giời, mình mới upload thử 1 con shell lên host xem nó thế nào. Nhưng nó đã báo cáo ngay với chủ của nó (thằng viết shell). Mình vô tình phát hiện được là vì hòm mail của thằng viết shell chết, nên mình đã nhận được.

Do vậy các bạn up shell, tập hack thì cũng không hẳn, mà chỉ là phát tán công cụ hack cho các hacker nước ngoài sử dụng mà thôi.
Các bạn có thể xem hình dưới đây:




Qua đây cũng củng cố thêm ý của bác Conmale về độ "lém" của kẻ viết công cụ hack:
/hvaonline/posts/list/5/11448.html#66010
[Up] [Print Copy]
  [Question]   Hướng dẫn chống hack local (rất hiệu quả)(Apache web server) 13/12/2012 18:05:43 (+0700) | #20 | 271816
Thunn
Member

[Minus]    0    [Plus]
Joined: 30/05/2005 06:36:43
Messages: 2
Offline
[Profile] [PM]

Thunn wrote:

Phan Kieu Bang Nhan wrote:
Hix Anh nào cò con r57 thì share cho em với nhé 


Xin lỗi mọi người nhé. Mặc dù topic này đã rất lâu rồi nhưng mình vẫn muốn mở lại.
Chả là thế này, hôm nay mát giời, mình mới upload thử 1 con shell lên host xem nó thế nào. Nhưng nó đã báo cáo ngay với chủ của nó (thằng viết shell). Mình vô tình phát hiện được là vì hòm mail của thằng viết shell chết, nên mình đã nhận được.

Do vậy các bạn up shell, tập hack thì cũng không hẳn, mà chỉ là phát tán công cụ hack cho các hacker nước ngoài sử dụng mà thôi.
Các bạn có thể xem hình dưới đây:




Qua đây cũng củng cố thêm ý của bác Conmale về độ "lém" của kẻ viết công cụ hack:
/hvaonline/posts/list/5/11448.html#66010 

conmale wrote:

alice wrote:

Hôm bữa rảnh một tí, tớ thử phân tích "con" r57 thì thấy có nhiều chi tiết lý thú. Tay Russian nào viết con này rất lém. Những kiddie nào dùng script đó để exploit thành công thì stats sẽ được log đến 1 server (khác). Chính người làm chủ stats server kia sẽ nắm trong tay chính xác bao nhiêu sites bị "con" r57 làm thịt và chính xác site nào luôn.

E rằng các kiddie dùng mấy con script này không biết mấy cái chi tiết đó và đang đi làm... không công cho ai đó ). Những server bị nhân nhượng có thể bị biến thành zombies --> hậu hoạn khó lường.

Tip: soi các block base64 để biết chi tiết.
 
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|