banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Nên tắt những hàm nào của PHP để đảm bảo an toàn  XML
  [Question]   Nên tắt những hàm nào của PHP để đảm bảo an toàn 15/04/2010 08:10:39 (+0700) | #1 | 208991
C0pyl3ft
Locked

[Minus]    0    [Plus]
Joined: 10/01/2010 23:36:27
Messages: 83
Offline
[Profile] [PM]
theo kinh nghiệm cá nhân và tham khảo một số tài liệu, hiện nay tớ đã tắt một vài hàm nhạy cảm và nguy hiểm trên server, cụ thể là các hàm
disable_functions = apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, mysql_pconnect, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode 

tớ muốn hỏi theo kinh nghiệm của các bạn thì các bạn tắt những hàm nhạy cảm nào của php để bảm đảm vấn đề bảo mật trên web server (tiêu biểu là việc chống local attack)? có thể chia sẽ không smilie

cám ơn đã tham gia topic
[Up] [Print Copy]
  [Question]   Nên tắt những hàm nào của PHP để đảm bảo an toàn 16/04/2010 08:39:23 (+0700) | #2 | 209114
napo
Member

[Minus]    0    [Plus]
Joined: 10/08/2003 05:18:33
Messages: 19
Offline
[Profile] [PM]
Tham khảo:

- /hvaonline/posts/list/0/2698.html



- /hvaonline/posts/list/0/2698.html
[Up] [Print Copy]
  [Question]   Nên tắt những hàm nào của PHP để đảm bảo an toàn 16/04/2010 09:00:39 (+0700) | #3 | 209116
[Avatar]
Ikut3
Elite Member

[Minus]    0    [Plus]
Joined: 24/09/2007 23:47:03
Messages: 1429
Location: Nhà hát lớn
Offline
[Profile] [PM] [Yahoo!]

anh gamma95 wrote:

Bản chất của việc chống local hack không phải là Disable Functions. Bởi đơn giản khi disable các functions sẽ gặp khó khăn trong việc code php cũng như thực thi nó  


Bạn thử sử dụng Mod Security + Phân Quyền USer + Phân quyền Group xem sao
[Up] [Print Copy]
  [Question]   Nên tắt những hàm nào của PHP để đảm bảo an toàn 24/04/2010 15:52:20 (+0700) | #4 | 209703
billylo22
Member

[Minus]    0    [Plus]
Joined: 23/04/2010 02:02:06
Messages: 6
Offline
[Profile] [PM]
local attack hay còn gọi là Local Root Exploit phải hem ?
Mà hình như cái kiểu tấn công hok đc anh hùng này đã từng làm đau đầu các hostmasters ,nó đã bị biến mất từ năm 2008 ,giờ sao mình thấy rất nhìu forum vn moi lại nó ra zậy
[Up] [Print Copy]
  [Question]   Nên tắt những hàm nào của PHP để đảm bảo an toàn 24/04/2010 16:02:48 (+0700) | #5 | 209705
badboy1983
Member

[Minus]    0    [Plus]
Joined: 25/05/2008 18:05:47
Messages: 1
Offline
[Profile] [PM]
@billylo : bạn ở đâu mới xuống vậy ?
[Up] [Print Copy]
  [Question]   Nên tắt những hàm nào của PHP để đảm bảo an toàn 24/04/2010 18:24:14 (+0700) | #6 | 209711
billylo22
Member

[Minus]    0    [Plus]
Joined: 23/04/2010 02:02:06
Messages: 6
Offline
[Profile] [PM]
@badboy1983
bạn hỏi zậy là sao ?
[Up] [Print Copy]
  [Question]   Nên tắt những hàm nào của PHP để đảm bảo an toàn 24/04/2010 22:27:14 (+0700) | #7 | 209723
phanledaivuong
Member

[Minus]    0    [Plus]
Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline
[Profile] [PM] [WWW]

billylo22 wrote:
local attack hay còn gọi là Local Root Exploit phải hem ?
Mà hình như cái kiểu tấn công hok đc anh hùng này đã từng làm đau đầu các hostmasters ,nó đã bị biến mất từ năm 2008 ,giờ sao mình thấy rất nhìu forum vn moi lại nó ra zậy 


đọc nhiều bài trên hva thì thấy các anh như Ikut3 nghịch mấy cái này từ năm 2005 smilie
[Up] [Print Copy]
  [Question]   Nên tắt những hàm nào của PHP để đảm bảo an toàn 25/04/2010 09:32:08 (+0700) | #8 | 209735
[Avatar]
nhanth87
Member

[Minus]    0    [Plus]
Joined: 12/08/2009 08:54:00
Messages: 168
Offline
[Profile] [PM]

billylo22 wrote:
local attack hay còn gọi là Local Root Exploit phải hem ?
Mà hình như cái kiểu tấn công hok đc anh hùng này đã từng làm đau đầu các hostmasters ,nó đã bị biến mất từ năm 2008 ,giờ sao mình thấy rất nhìu forum vn moi lại nó ra zậy 


local attack chưa chắc leo được lên root, còn root exploit thì chắc chắc là lấy được quyền root rồi. 2 cái này khác nhau nhiều.
Aricent - Software Engineer
[Up] [Print Copy]
  [Question]   Nên tắt những hàm nào của PHP để đảm bảo an toàn 26/04/2010 21:38:44 (+0700) | #9 | 209836
cvhainb
Member

[Minus]    0    [Plus]
Joined: 04/01/2007 14:32:38
Messages: 251
Offline
[Profile] [PM]

Ikut3 wrote:

anh gamma95 wrote:

Bản chất của việc chống local hack không phải là Disable Functions. Bởi đơn giản khi disable các functions sẽ gặp khó khăn trong việc code php cũng như thực thi nó  


Bạn thử sử dụng Mod Security + Phân Quyền USer + Phân quyền Group xem sao 


Code kỹ + những điều trên là đủ smilie .

Thân.
[Up] [Print Copy]
  [Question]   Nên tắt những hàm nào của PHP để đảm bảo an toàn 27/04/2010 00:12:28 (+0700) | #10 | 209846
[Avatar]
Ikut3
Elite Member

[Minus]    0    [Plus]
Joined: 24/09/2007 23:47:03
Messages: 1429
Location: Nhà hát lớn
Offline
[Profile] [PM] [Yahoo!]
Hi all !

Mình nghĩ nên áp dụng qui tắc "phòng cháy chữa cháy" không chỉ riêng phạm trù local exploit mà còn đối với các lỗ hổng bảo mật khác. Mọi người chỉ thật sự lo sợ và tìm cách chặn shell khi trên server đã có mà không tìm cách chống nó để hạn chế tối đa việc nó xuất hiện trên server.

Mình có kinh nghiệm thế này viết ra không biết có chia sẻ được với mọi người không

Cách đây vài ngày, mình nhận 1 hợp đồng bảo trì làm Web của 1 cty thiết kế web sử dụng source Joomla. Cty có 1 webserver và chịu trách nhiệm cung cấp hosting luôn cho các site khác nếu khách hàng có nhu cầu. Sự thật là khi scan bằng 1 số tool Antivirus thì bắt được quá trời Trojan/Backdoor (r57,c99). Họ nhờ bên mình cấu hình sao cho các shell không chạy được. Mình có tham khảo ý kiến của bác Conmale, anh PHT và đã áp dụng như sau

+ Install Antivirus để chịu trách nhiệm quét & tìm link các shell (tất nhiên với các shell chưa encode)

+ Install Modsecurity

+ Apply rules chống shell
(Add tất cả các file source Joomla vào 1 white list) và các file .php ở ngoài list sẽ không chạy được

+ Security /tmp

+ Security các user/group và các thư mục nhạy cảm của Server

+Theo dõi logfile các site khả nghi thường hay bị attacker nhòm ngó

Kết quả là hạn chế được gần như tối đa việc bị local attack. Không biết giải pháp trên mình đưa ra theo mọi người có vấn đề gì (thiếu xót hoặc sai chỗ nào không). Mong được mọi người góp ý thêm
[Up] [Print Copy]
  [Question]   Nên tắt những hàm nào của PHP để đảm bảo an toàn 28/04/2010 10:44:58 (+0700) | #11 | 209940
cvhainb
Member

[Minus]    0    [Plus]
Joined: 04/01/2007 14:32:38
Messages: 251
Offline
[Profile] [PM]
Lúc trước do các server cấu hình kém nên mới có tình trạng local attack nhiều nhưng bây giờ mình nghĩ đã ít đi rất nhiều vì các server administrator đã có kinh nghiệm và trình độ rồi.

Về các vấn đề mà Ikut nêu trên mình có vài thắc mắc:
+ Apply rules chống shell
(Add tất cả các file source Joomla vào 1 white list) và các file .php ở ngoài list sẽ không chạy được
- Cách này theo mình không hay bởi một lẽ nếu website có xài một vài modules, components mới thì mình lại phải add tất cả files vào cái gọi là white list hay sao ? Mà nếu website ko sử dụng joomla mà là một cái tự code thì hơi mệt.
[Up] [Print Copy]
  [Question]   Nên tắt những hàm nào của PHP để đảm bảo an toàn 28/04/2010 23:00:28 (+0700) | #12 | 209988
[Avatar]
Ikut3
Elite Member

[Minus]    0    [Plus]
Joined: 24/09/2007 23:47:03
Messages: 1429
Location: Nhà hát lớn
Offline
[Profile] [PM] [Yahoo!]
Về các vấn đề mà Ikut nêu trên mình có vài thắc mắc:
+ Apply rules chống shell
(Add tất cả các file source Joomla vào 1 white list) và các file .php ở ngoài list sẽ không chạy được
- Cách này theo mình không hay bởi một lẽ nếu website có xài một vài modules, components mới thì mình lại phải add tất cả files vào cái gọi là white list hay sao ? Mà nếu website ko sử dụng joomla mà là một cái tự code thì hơi mệt. 


Ha ha chính xác là mình cũng đã nghĩ vậy và nhận được lí giải sau
"Khi code thêm 1 file .php mới, yêu cầu webmaster phải có report rõ ràng cho người quản trị Server. Như vậy việc thay đổi ngoài việc được check bởi người code còn được quản trị check thêm 1 lần nữa rồi mới đưa nó vào white list để khởi chạy". Nghe có vẻ hơi cầu kì và phức tạp nhưng khi tiến hành mình thấy không nặng nề hay mất thời gian gì nhiều.

Thân !
[Up] [Print Copy]
  [Question]   Nên tắt những hàm nào của PHP để đảm bảo an toàn 28/04/2010 23:46:17 (+0700) | #13 | 209990
phanledaivuong
Member

[Minus]    0    [Plus]
Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline
[Profile] [PM] [WWW]

Ikut3 wrote:
Về các vấn đề mà Ikut nêu trên mình có vài thắc mắc:
+ Apply rules chống shell
(Add tất cả các file source Joomla vào 1 white list) và các file .php ở ngoài list sẽ không chạy được
- Cách này theo mình không hay bởi một lẽ nếu website có xài một vài modules, components mới thì mình lại phải add tất cả files vào cái gọi là white list hay sao ? Mà nếu website ko sử dụng joomla mà là một cái tự code thì hơi mệt. 


Ha ha chính xác là mình cũng đã nghĩ vậy và nhận được lí giải sau
"Khi code thêm 1 file .php mới, yêu cầu webmaster phải có report rõ ràng cho người quản trị Server. Như vậy việc thay đổi ngoài việc được check bởi người code còn được quản trị check thêm 1 lần nữa rồi mới đưa nó vào white list để khởi chạy". Nghe có vẻ hơi cầu kì và phức tạp nhưng khi tiến hành mình thấy không nặng nề hay mất thời gian gì nhiều.

Thân ! 


thế nếu mà cu webmaster này muốn tấn công các site khác cùng server sẽ thay cái file php được khai báo hợp pháp bằng con shell để tấn công sang site khác thì sao? tấn công song lại edit về nội dung bạn đầu của file hợp pháp, vậy anh sẽ làm gì?
[Up] [Print Copy]
  [Question]   Nên tắt những hàm nào của PHP để đảm bảo an toàn 29/04/2010 08:51:00 (+0700) | #14 | 210005
cvhainb
Member

[Minus]    0    [Plus]
Joined: 04/01/2007 14:32:38
Messages: 251
Offline
[Profile] [PM]

phanledaivuong wrote:

Ikut3 wrote:
Về các vấn đề mà Ikut nêu trên mình có vài thắc mắc:
+ Apply rules chống shell
(Add tất cả các file source Joomla vào 1 white list) và các file .php ở ngoài list sẽ không chạy được
- Cách này theo mình không hay bởi một lẽ nếu website có xài một vài modules, components mới thì mình lại phải add tất cả files vào cái gọi là white list hay sao ? Mà nếu website ko sử dụng joomla mà là một cái tự code thì hơi mệt. 


Ha ha chính xác là mình cũng đã nghĩ vậy và nhận được lí giải sau
"Khi code thêm 1 file .php mới, yêu cầu webmaster phải có report rõ ràng cho người quản trị Server. Như vậy việc thay đổi ngoài việc được check bởi người code còn được quản trị check thêm 1 lần nữa rồi mới đưa nó vào white list để khởi chạy". Nghe có vẻ hơi cầu kì và phức tạp nhưng khi tiến hành mình thấy không nặng nề hay mất thời gian gì nhiều.

Thân ! 


thế nếu mà cu webmaster này muốn tấn công các site khác cùng server sẽ thay cái file php được khai báo hợp pháp bằng con shell để tấn công sang site khác thì sao? tấn công song lại edit về nội dung bạn đầu của file hợp pháp, vậy anh sẽ làm gì? 


@phanledaivuong: Nếu là webmaster thì cần gì thay shell cho mệt chứ ! smilie
@Ikut3: Nếu là mình thì chắc mình không thể xài cái phương pháp đó được smilie .

Thân.
[Up] [Print Copy]
  [Question]   Nên tắt những hàm nào của PHP để đảm bảo an toàn 29/04/2010 08:57:14 (+0700) | #15 | 210006
[Avatar]
Ikut3
Elite Member

[Minus]    0    [Plus]
Joined: 24/09/2007 23:47:03
Messages: 1429
Location: Nhà hát lớn
Offline
[Profile] [PM] [Yahoo!]
thế nếu mà cu webmaster này muốn tấn công các site khác cùng server sẽ thay cái file php được khai báo hợp pháp bằng con shell để tấn công sang site khác thì sao? tấn công song lại edit về nội dung bạn đầu của file hợp pháp, vậy anh sẽ làm gì? 


ha ha kiểu tấn công Local Exploit này thường được gọi là tấn công từ trong ra ngoài. Nếu thật sự họ đã rắp tâm cố tình làm điều này thì mình vẫn còn 1 bức tường ngăn cản phía sau, đó chính là các rules khác của modsecurity nhằm hạn chế các user thực thi các câu lệnh nhạy cảm, chính là việc phân quyền user + group, chính là sự theo dõi giám sát kĩ những yếu tố thay đổi bên trong + các sự tác động bên ngoài. Chẳng hạn như khi gõ
Code:
cat /etc/passwd hay cat /etc/group
thì đều bị cản lại. Kết hợp với việc phân quyền user + group
Code:
nobody (uid=99, gid=99)
.
Song song đó anh vẫn xây dựng 1 hệ thống audit ngầm, nhằm theo dõi việc chỉnh sửa của từng site

p/s: Ngoài ra cũng cần nói thêm về yếu tố khách hàng. Chuyện khách hàng là người thế nào mình không thể nắm rõ và biết hết được. Vì vậy trong hợp đồng vẫn phải có những yếu tố quan trọng để xác minh họ, bắt họ cam kết đúng với những điều khoản khi hosting tại server v.v.. Nếu bản thân họ cố tình vi phạm thì trước nhất họ đã gặp vấn đề về mặt pháp luật rồi - chưa đụng gì đến chuyện kĩ thuật cho xa xôi cả

Thân !
[Up] [Print Copy]
  [Question]   Nên tắt những hàm nào của PHP để đảm bảo an toàn 22/07/2010 18:47:27 (+0700) | #16 | 216042
huyannet
Member

[Minus]    0    [Plus]
Joined: 21/07/2008 00:42:51
Messages: 83
Offline
[Profile] [PM]
Bổ sung:
- Tắt các tính năng hiển thị lỗi trên Web.
- Lọc biến PHP trả về từ client trước khi sử dụng. (lọc các ký tự đặc biệt hoặc edit lại thành dạng plaintext)
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|