[Question] ?? CHMOD chống shell r57 ?? |
30/05/2008 09:03:04 (+0700) | #1 | 133364 |
|
khigiadano
Member
|
0 |
|
|
Joined: 27/02/2008 18:20:56
Messages: 370
Location: http://aspx.vn
Offline
|
|
Cái host mình đã thử bỏ c99 lên chạy thì c99 bị vô hiệu hoá
Nhưng up con r57 lên thì vẫn chạy tốt
http://hanhtrangsinhvien.net
mặc dù thư mục đó mình CHMOD là 4711 : Owner full - Group và Public chỉ có quyền thực thi
Phải phòng thủ như thế nào đây nếu R57 nhảy lên đc host ?
Thêm 1 vấn đề nữa là lỡ may cái ZIP - UNZIP đc quăng lên thì sao nhỉ ??
CHMOD thế nào để cấm đây |
|
Yahoo ID: khigiadano - Tel: 0907.870.676 - Email: khigiadano@gmail.com
Mình rất kém, vào đây học hỏi kinh nghiệm thôi... |
|
|
|
[Question] Re: ?? CHMOD chống shell r57 ?? |
30/05/2008 11:48:34 (+0700) | #2 | 133386 |
FaL
Moderator
|
Joined: 14/04/2006 09:31:18
Messages: 1232
Offline
|
|
Chào khigiadano,
Bạn cho upload lên 1 thư mục? Trong thư mục upload không được phép thực thi bất kỳ kiểu file nào cả. (Xem mod mine của apache). Không thực thi được thì không thể làm gì được.
PS: Không bôi đậm toàn bài viết.
|
|
Hãy giữ một trái tim nóng và một cái đầu lạnh |
|
|
|
[Question] Re: ?? CHMOD chống shell r57 ?? |
30/05/2008 23:41:50 (+0700) | #3 | 133435 |
|
khigiadano
Member
|
0 |
|
|
Joined: 27/02/2008 18:20:56
Messages: 370
Location: http://aspx.vn
Offline
|
|
Cho mình hỏi các file .JS của VBB hình như là file javascrip
Vậy nên cấp cho nó quyền read hay execute ??
Có thể set cho thư mục nào đó ko đc upload thêm file vào đó có đc ko ?? |
|
Yahoo ID: khigiadano - Tel: 0907.870.676 - Email: khigiadano@gmail.com
Mình rất kém, vào đây học hỏi kinh nghiệm thôi... |
|
|
|
[Question] Re: ?? CHMOD chống shell r57 ?? |
31/05/2008 04:06:19 (+0700) | #4 | 133484 |
FaL
Moderator
|
Joined: 14/04/2006 09:31:18
Messages: 1232
Offline
|
|
File Javascript chạy kiểu gì vậy bồ? |
|
Hãy giữ một trái tim nóng và một cái đầu lạnh |
|
|
|
[Question] Re: ?? CHMOD chống shell r57 ?? |
31/05/2008 07:05:46 (+0700) | #5 | 133510 |
|
khigiadano
Member
|
0 |
|
|
Joined: 27/02/2008 18:20:56
Messages: 370
Location: http://aspx.vn
Offline
|
|
Cám ơn bạn nhiều heng
Vậy nếu lỡ có 1 con lọt vào rồi
Làm thế nào để họ ko dòm đc thông tin MySQL trong config.php
có những cách nào ?? |
|
Yahoo ID: khigiadano - Tel: 0907.870.676 - Email: khigiadano@gmail.com
Mình rất kém, vào đây học hỏi kinh nghiệm thôi... |
|
|
|
[Question] Re: ?? CHMOD chống shell r57 ?? |
31/05/2008 12:44:08 (+0700) | #6 | 133554 |
FaL
Moderator
|
Joined: 14/04/2006 09:31:18
Messages: 1232
Offline
|
|
Con shell đó dùng ID của user nào để execute? User đó có xem được file config.php không? Nếu đã lọt rồi, xem rồi thì còn phòng chống gì được nữa. |
|
Hãy giữ một trái tim nóng và một cái đầu lạnh |
|
|
|
[Question] Re: ?? CHMOD chống shell r57 ?? |
01/06/2008 11:24:28 (+0700) | #7 | 133651 |
|
khigiadano
Member
|
0 |
|
|
Joined: 27/02/2008 18:20:56
Messages: 370
Location: http://aspx.vn
Offline
|
|
Có cách nào search Shell nhanh gọn ngay trên host ko nhỉ ?? |
|
Yahoo ID: khigiadano - Tel: 0907.870.676 - Email: khigiadano@gmail.com
Mình rất kém, vào đây học hỏi kinh nghiệm thôi... |
|
|
|
[Question] Re: ?? CHMOD chống shell r57 ?? |
01/06/2008 13:06:40 (+0700) | #8 | 133659 |
|
Look2Me
Member
|
0 |
|
|
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
|
|
khigiadano wrote:
Có cách nào search Shell nhanh gọn ngay trên host ko nhỉ ??
Đc, mãi mới thấy hỏi đc câu hay
Tiếc là tớ ko có biết câu trả lời. Nhưng tớ nghĩ chắn chắn là có vì bạn đã dần hiểu đc bản chấn của vấn đề rồi:
Bạn thử với các từ khóa: detech webshell, detect web backdoor xem ntn ) |
|
|
|
|
[Question] Re: ?? CHMOD chống shell r57 ?? |
01/06/2008 13:56:42 (+0700) | #9 | 133672 |
|
onlinehack
Member
|
0 |
|
|
Joined: 04/12/2007 23:07:12
Messages: 116
Location: Ma maison
Offline
|
|
khigiadano wrote:
Có cách nào search Shell nhanh gọn ngay trên host ko nhỉ ??
Thông thường tụi c99 shell, r57 shell tụi nó có cái gì trong đó
Có thể thêm cái này vào php.ini :
Code:
disable_functions=show_source, system, shell_exec, passthru, exec, popen, proc_open, system_exec, escapeshellarg, escapeshellcmd, proc_close, ini_alter, parse_ini_file
Hoặc có thể áp dụng các rules cho mod_security, thường trong core rules đã có đoạn detect c99 và r57 shell rồi.
|
|
|
|
|
[Question] Re: ?? CHMOD chống shell r57 ?? |
01/06/2008 23:44:23 (+0700) | #10 | 133702 |
FaL
Moderator
|
Joined: 14/04/2006 09:31:18
Messages: 1232
Offline
|
|
onlinehack làm như host nào cũng chạy PHP |
|
Hãy giữ một trái tim nóng và một cái đầu lạnh |
|
|
|
[Question] Re: ?? CHMOD chống shell r57 ?? |
02/06/2008 00:06:19 (+0700) | #11 | 133705 |
|
onlinehack
Member
|
0 |
|
|
Joined: 04/12/2007 23:07:12
Messages: 116
Location: Ma maison
Offline
|
|
FaL wrote:
onlinehack làm như host nào cũng chạy PHP
hì, đang nói r57 với c99, không chạy PHP thì chạy cái gì
Tham khảo thêm bài này : http://backtrackbox.com/learn/fight-back-againts-c99-and-r57-shell.box#more-57
|
|
|
|
|
[Question] Re: ?? CHMOD chống shell r57 ?? |
02/06/2008 00:38:11 (+0700) | #12 | 133706 |
FaL
Moderator
|
Joined: 14/04/2006 09:31:18
Messages: 1232
Offline
|
|
Ừa, thì đúng là tụi nó là php, nhưng cũng nên bàn chung đến việc chống shell. Còn cái link bồ đưa coi bộ còn thô sơ lắm. |
|
Hãy giữ một trái tim nóng và một cái đầu lạnh |
|
|
|
[Question] Re: ?? CHMOD chống shell r57 ?? |
02/06/2008 03:08:46 (+0700) | #13 | 133724 |
|
onlinehack
Member
|
0 |
|
|
Joined: 04/12/2007 23:07:12
Messages: 116
Location: Ma maison
Offline
|
|
FaL wrote:
Ừa, thì đúng là tụi nó là php, nhưng cũng nên bàn chung đến việc chống shell. Còn cái link bồ đưa coi bộ còn thô sơ lắm.
Link đó là để trả lời câu này :
Có cách nào search Shell nhanh gọn ngay trên host ko nhỉ ??
Nếu "bàn chung" thì chmod cẩn thận, hoặc có thể thì dùng modsecurity . Còn bàn thêm cái gì nữa thì .. chưa biết
|
|
|
|
|
[Question] Re: ?? CHMOD chống shell r57 ?? |
05/06/2008 10:12:19 (+0700) | #14 | 134202 |
|
BachDuongTM
Member
|
0 |
|
|
Joined: 29/06/2006 17:39:39
Messages: 85
Offline
|
|
cần hiểu sâu bản chất vấn đề
rc57 là cái chi và cách thức hoạt động của nó thế nào ?? vì sao nó có thể chu du khắp hệ thống mà không gặp trở ngại nào cả. Tức là làm tốt ở mức tổng quan cao nhất, thì khi đó cho dù upload shell tự viết đi chăng nữa thì cũng không có tác dụng phá hoại
Các đơn giản nhất chống shell là phân vùng ảnh hưởng, mỗi người 1 phòng , độc lập với nhau, khi đó phòng bên đầy sâu với khủng long thì cũng không ảnh hưởng đến hàng xóm bên canh. Cái đò phải đòi hỏi quyền hạn cao nhất root admin chứ member thì không fix được |
|
|
|
|
[Question] Re: ?? CHMOD chống shell r57 ?? |
05/06/2008 13:02:41 (+0700) | #15 | 134226 |
mR.Bi
Member
|
0 |
|
|
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
|
|
BachDuongTM wrote:
cần hiểu sâu bản chất vấn đề
rc57 là cái chi và cách thức hoạt động của nó thế nào ?? vì sao nó có thể chu du khắp hệ thống mà không gặp trở ngại nào cả. Tức là làm tốt ở mức tổng quan cao nhất, thì khi đó cho dù upload shell tự viết đi chăng nữa thì cũng không có tác dụng phá hoại
Các đơn giản nhất chống shell là phân vùng ảnh hưởng, mỗi người 1 phòng , độc lập với nhau, khi đó phòng bên đầy sâu với khủng long thì cũng không ảnh hưởng đến hàng xóm bên canh. Cái đò phải đòi hỏi quyền hạn cao nhất root admin chứ member thì không fix được
Cậu viết tớ chả hiểu cái gì
Nói chung up được mà không cho quyền execute thì r57 hay r99 cũng thế thôi. Mà tốt nhất như tớ, trình độ không tới, không cho up!
|
|
All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children" |
|
|
|
[Question] Re: ?? CHMOD chống shell r57 ?? |
05/06/2008 19:26:16 (+0700) | #16 | 134245 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
mR.Bi wrote:
BachDuongTM wrote:
cần hiểu sâu bản chất vấn đề
rc57 là cái chi và cách thức hoạt động của nó thế nào ?? vì sao nó có thể chu du khắp hệ thống mà không gặp trở ngại nào cả. Tức là làm tốt ở mức tổng quan cao nhất, thì khi đó cho dù upload shell tự viết đi chăng nữa thì cũng không có tác dụng phá hoại
Các đơn giản nhất chống shell là phân vùng ảnh hưởng, mỗi người 1 phòng , độc lập với nhau, khi đó phòng bên đầy sâu với khủng long thì cũng không ảnh hưởng đến hàng xóm bên canh. Cái đò phải đòi hỏi quyền hạn cao nhất root admin chứ member thì không fix được
Cậu viết tớ chả hiểu cái gì
Nói chung up được mà không cho quyền execute thì r57 hay r99 cũng thế thôi. Mà tốt nhất như tớ, trình độ không tới, không cho up!
---> jail apache. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: ?? CHMOD chống shell r57 ?? |
05/06/2008 22:15:04 (+0700) | #17 | 134253 |
|
BachDuongTM
Member
|
0 |
|
|
Joined: 29/06/2006 17:39:39
Messages: 85
Offline
|
|
conmale wrote:
mR.Bi wrote:
BachDuongTM wrote:
cần hiểu sâu bản chất vấn đề
rc57 là cái chi và cách thức hoạt động của nó thế nào ?? vì sao nó có thể chu du khắp hệ thống mà không gặp trở ngại nào cả. Tức là làm tốt ở mức tổng quan cao nhất, thì khi đó cho dù upload shell tự viết đi chăng nữa thì cũng không có tác dụng phá hoại
Các đơn giản nhất chống shell là phân vùng ảnh hưởng, mỗi người 1 phòng , độc lập với nhau, khi đó phòng bên đầy sâu với khủng long thì cũng không ảnh hưởng đến hàng xóm bên canh. Cái đò phải đòi hỏi quyền hạn cao nhất root admin chứ member thì không fix được
Cậu viết tớ chả hiểu cái gì
Nói chung up được mà không cho quyền execute thì r57 hay r99 cũng thế thôi. Mà tốt nhất như tớ, trình độ không tới, không cho up!
---> jail apache.
apache là vì anh quen với *nix hoặc *BSD . Với IIS thì sao anh
có cách nào nhốt mức user thôi để tránh lãng phí ram anh |
|
|
|
|
[Question] Re: ?? CHMOD chống shell r57 ?? |
05/06/2008 22:23:07 (+0700) | #18 | 134254 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
BachDuongTM wrote:
conmale wrote:
mR.Bi wrote:
BachDuongTM wrote:
cần hiểu sâu bản chất vấn đề
rc57 là cái chi và cách thức hoạt động của nó thế nào ?? vì sao nó có thể chu du khắp hệ thống mà không gặp trở ngại nào cả. Tức là làm tốt ở mức tổng quan cao nhất, thì khi đó cho dù upload shell tự viết đi chăng nữa thì cũng không có tác dụng phá hoại
Các đơn giản nhất chống shell là phân vùng ảnh hưởng, mỗi người 1 phòng , độc lập với nhau, khi đó phòng bên đầy sâu với khủng long thì cũng không ảnh hưởng đến hàng xóm bên canh. Cái đò phải đòi hỏi quyền hạn cao nhất root admin chứ member thì không fix được
Cậu viết tớ chả hiểu cái gì
Nói chung up được mà không cho quyền execute thì r57 hay r99 cũng thế thôi. Mà tốt nhất như tớ, trình độ không tới, không cho up!
---> jail apache.
apache là vì anh quen với *nix hoặc *BSD . Với IIS thì sao anh
có cách nào nhốt mức user thôi để tránh lãng phí ram anh
Cái gì trên *nix cũng có thể "jail" cả bởi vì triết lý hình thành cấu trúc hệ các điều hành *nix cho phép như thế (kernel space và userspace). Trong khi đó, Windows thì có triết lý khác, bởi thế "jail" IIS là điều khó có thể thực hiện. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: ?? CHMOD chống shell r57 ?? |
21/06/2008 05:08:40 (+0700) | #19 | 136629 |
xevathethao
Member
|
0 |
|
|
Joined: 27/03/2007 17:33:40
Messages: 16
Location: VIỆT NAM
Offline
|
|
BachDuongTM wrote:
apache là vì anh quen với *nix hoặc *BSD . Với IIS thì sao anh
có cách nào nhốt mức user thôi để tránh lãng phí ram anh
Trên WINDOWS có NTFS, hãy dùng cái này để lock user vào riêng folder của nó.. không cho chui sang thằng khác.
IIS ( ver 6 trở lên) hoạt động theo worker process, mỗi WEBSITE được cung cấp 1 pool, và 1 user thuộc nhóm IIS_WPG, user này sẽ run pool được cung cấp. Nếu mỗi thư mục của 1 website được set đặc quyền chỉ do user đấy FULL Control thì nó chỉ quanh quẩn trong thư mục ấy. " cái này có tác dụng cho cả PHP và các ngôn ngữ khác run trên IIS.
Nếu học kỹ NTFS và IIS bạn sẽ thấy nó dễ protect SHELL hơn APACHE ( vì APACHE chạy toàn run với 1 user duy nhất là APACHE, giống như việc config IIS run chung 1 WP, chung 1 user là NETWORK SERVICE ( mặc định khi cài IIS).
//Đã nghiên cứu thằng này khá lâu, vì trước đây các SHARED Server, SHARED HOSTING bị dính ( 3 năm trước ) nó xóa sạch các index file của tất cả các site trong SERVER,.. làm mình phải mất công 1 ngày để restore lại gần 1000 sites.
Hiện tại mình kiểm tra hầu hết các cong ty HOSTING ở VIỆT NAM đều đang dính lỗi này mà chưa biết cách giải quyết ra sao.. cụ thể 99,99% SHARED WINDOWS SERVER của NHÂN HÒA bị dính.. , DIGI, MẮT BÃO, PA, GLTEC v..v.v.v
Cứ HP nào dùng CONTROL PANEL mà sử dụng WINDOWS FPT SERVER thì không cần kiểm tra cũng biết 100% là không fix được cái này... |
|
|
|
|
[Question] Re: ?? CHMOD chống shell r57 ?? |
21/06/2008 07:57:37 (+0700) | #20 | 136656 |
putynov
Member
|
0 |
|
|
Joined: 28/05/2008 17:33:39
Messages: 16
Offline
|
|
xevathethao wrote:
BachDuongTM wrote:
apache là vì anh quen với *nix hoặc *BSD . Với IIS thì sao anh -:-) -:-)
có cách nào nhốt mức user thôi để tránh lãng phí ram anh
Trên WINDOWS có NTFS, hãy dùng cái này để lock user vào riêng folder của nó.. không cho chui sang thằng khác.
IIS ( ver 6 trở lên) hoạt động theo worker process, mỗi WEBSITE được cung cấp 1 pool, và 1 user thuộc nhóm IIS_WPG, user này sẽ run pool được cung cấp. Nếu mỗi thư mục của 1 website được set đặc quyền chỉ do user đấy FULL Control thì nó chỉ quanh quẩn trong thư mục ấy. " cái này có tác dụng cho cả PHP và các ngôn ngữ khác run trên IIS.
Nếu học kỹ NTFS và IIS bạn sẽ thấy nó dễ protect SHELL hơn APACHE ( vì APACHE chạy toàn run với 1 user duy nhất là APACHE, giống như việc config IIS run chung 1 WP, chung 1 user là NETWORK SERVICE ( mặc định khi cài IIS).
//Đã nghiên cứu thằng này khá lâu, vì trước đây các SHARED Server, SHARED HOSTING bị dính ( 3 năm trước ) nó xóa sạch các index file của tất cả các site trong SERVER,.. làm mình phải mất công 1 ngày để restore lại gần 1000 sites.
Hiện tại mình kiểm tra hầu hết các cong ty HOSTING ở VIỆT NAM đều đang dính lỗi này mà chưa biết cách giải quyết ra sao.. cụ thể 99,99% SHARED WINDOWS SERVER của NHÂN HÒA bị dính.. , DIGI, MẮT BÃO, PA, GLTEC v..v.v.v
Cứ HP nào dùng CONTROL PANEL mà sử dụng WINDOWS FPT SERVER thì không cần kiểm tra cũng biết 100% là không fix được cái này...
-----------------------------------------
Việc fix website dạng này, mỗi site 1 user thay thế Network Service mặc định mình đã thử nghiệm, nhưng trường hợp Server có nhiều website thì trong trường hợp nào đó khi truy xuất website sẽ sinh lỗi pool ngay (stop pool website), có thể do quá tải bộ nhớ (cấp cho work process website này).
Về mặt logic thực chất vấn đề này là thay thế user riêng mỗi website có chức năng, quyền hạn gần như user Network service mặc định. Thế nhưng gặp trường hợp lỗi này khi đặt pool hoạt động ở user Network service lại thì website đó hoàn toàn bình thường.
Như vậy việc fix user này vẫn không hoàn toàn thay thế được User Network Service.
to: xevathethao
Không rõ bạn xevathethao có gặp trường hợp này và có cách xử lý không?
Thanks. |
|
|
|
|
|