Сървър Секюрити Хелп

[HaRRo]

Може ли да ми кажете какви security програми/модули да ползвам за server Linux/Centos.

Едни мангали ме нацелили тука, и постоянно ми инжектират php файлове, кредит кард спам за някаква бразилска банка (даже се свърaли с хоста от банката за fraud, но после им обесних по телефона, това не е проблема). Аз ги трия, ип бан, редирект, след 2-3 дена пак се появяват

Само на тия 777 папки, немога да ги сваля повече понеже сайта се скапва(lizense, images, cache)

За секюрити ползвам това което идва с Linux и kloxo, също и APF Firewall, BFD (Brute Force Detection), CHKROOTKIT, RKHunter, suhosin, и някви други .. Но вчера спрях apf и bfd, понеже много проблеми ми правят, и никва файда не съм видял. Днес инсталирах ModSecurity, уж май пазело от injections.

е това ползват клошарите - http://biofruta.com.br/opa.php

та ако някой има савети някакви

пс.май за пръв път питам за нещо тука, не ги разбирам много тия неща

 

[katsarov]

От: Сървър Секюрити Хелп

Ако има и някакви алтернативи под XP , ще помогнете много и на мен
Едит : линка който си дал , аваста го намира за вирус ...

 

[against]

От: Сървър Секюрити Хелп

Пъхат ти файлове в 777 папките ли? Ако е това най-вероятно има бъгня в сайта и на ниво Linux трудно ще го оправиш.
Трябва да се види откъде точно влазят и да се запуши.

Ако им имаш IP-тата, виж access log-овете какви заявки са пускали, ако има нещо да мяза на SQL injection или нещо друго съмнително...

 

[HaRRo]

Има форм за коментари за регистрирани юзърс, май оттам може само. Скрипта е custom.
В access логовете неможах да видя нещо.
И на мен ми мирише на SQL injection, но може да е и друго. Чух че с Prepared Statements, addslashes() или mysql_real_escape_string(), напълно изчезвал проблема, но не ги знам точно каде и как се ползват. :Д

 

[dragozh]

От: Сървър Секюрити Хелп

Можеш и с .htaccess да забраниш да се изпълняват php или perl файлове за съответните директории.

 

[docenta]

От: Сървър Секюрити Хелп

Имаш нещо пробито щом качват PHP шелове. Apache mod_security с последните правила ще спре доста от атаките. Ако не ползваш PHP функциите show_source, system, shell_exec, passthru, exec, popen, proc_open, allow_url_fopen
и т.н. може да ги спреш в php.ini:

disable_functions = show_source, system, shell_exec, passthru, exec, popen, proc_open, allow_url_fopen

 

[HaRRo]

Re: От: Сървър Секюрити Хелп

Имаш нещо пробито щом качват PHP шелове. Apache mod_security с последните правила ще спре доста от атаките. Ако не ползваш PHP функциите show_source, system, shell_exec, passthru, exec, popen, proc_open, allow_url_fopen
и т.н. може да ги спреш в php.ini:

disable_functions = show_source, system, shell_exec, passthru, exec, popen, proc_open, allow_url_fopen

Спрях ги сега, без последния allow_url_fopen. Мod_security вчера си го сложих, винаги съм си мислел че го имам :Д. Днеска няма attack, ще видим тиа 2-3 дни - седмица, след тиа промени дано да няма.
Иначе в същия сървър имам и WP сайтове, тях неможе ги закачат, само тоя къстом скрипт.

Можеш и с .htaccess да забраниш да се изпълняват php или perl файлове за съответните директории.

Може ли примерен код? php само в cache папката се изпълнява, и някакво кеширане на скрипта е, мога и без него, сървъра си има xcache, mod deflate...

дал съм ви репички на всичките, благодаря

 

[dragozh]

От: Re: От: Сървър Секюрити Хелп

Спрях ги сега, без последния allow_url_fopen. Мod_security вчера си го сложих, винаги съм си мислел че го имам :Д. Днеска няма attack, ще видим тиа 2-3 дни - седмица, след тиа промени дано да няма.
Иначе в същия сървър имам и WP сайтове, тях неможе ги закачат, само тоя къстом скрипт.

Може и от WP да е онзи ден излезе версия 3.1.1 и пишат, че са запушили няколко дупки, ако не си обновил направи го

Може ли примерен код? php само в cache папката се изпълнява, и някакво кеширане на скрипта е, мога и без него, сървъра си има xcache, mod deflate...

дал съм ви репички на всичките, благодаря

В .htaccess на съответната директория слагаш тези редове /важи и за всички поддиректории/ :

RemoveHandler .php
RemoveType .php
php_flag engine off

 

[dragozh]

От: Сървър Секюрити Хелп

Погледни и това може да ти бъде полезно :

http://howtoforge.net/amon.so-highjacking-system-calls-for-hardening-php-debian-lenny-and-squeeze

 

[gshopov]

От: Сървър Секюрити Хелп

на първо време делвай всичко и го качи от чисто копие от твоята машина
след това правиш каквото са ти казали колегите

 

[HaRRo]

Направих ги тия неща, без amon.so(само за debian бил май),
също добавих mod_evasive,и това- http://www.fail2ban.org
в httpd.conf - AddType application/x-httpd-php смених го на друго име,
и в php.ini - safe_mode = On, expose_php = Off и някои други настройки
С wp сайтовете нямам проблеми, нещо скрипта не е направен както трябва, свързах се с автора да измисли нещо за тия 777 папки

благодаря отново

 

[coolice]

може да потърсиш разширени правила за мод секюритито ако случаино пусне пак този къстъм скрипт макат че си мисля че е достатъчно

при комилация на пхп.то да добавиш http://www.hardened-php.net/suhosin/ понякога прави проблеми с някои скриптове (с урдпрес си е ок) и виж как е с къстъм скрипта

един не много про съвет но работещ добре ако имаш piwik на някои сайт на сървара към него има плугин които прави бърз чек на php секюритито

Based on PhpSecInfo from the PHP Security Consortium, this plugin provides security information about your PHP environment and offers suggestions for improvement. It is a tool in a multilayered security approach. It does not replace secure development practices nor audit the code/application.

чеква за неща като
Session
save_path
use_trans_sid
Core
group_id
allow_url_fopen
allow_url_include
register_globals
open_basedir
expose_php
file_uploads
user_id
upload_tmp_dir
display_errors
magic_quotes_gpc
Suhosin
Suhosin extension
Suhosin patch
Curl
file_support
CGI
force_redirect

 

[HaRRo]

suhosin имам и си бачка
това PhpSecInfo е добро наистина, намери 1 warning - allow_url_include is enabled, И няколо notice - memory_limit, post_max_size, upload_... set to a very high value, понеже е dedi- сървър с 8gb и не се скрънзя, сложил съм им големи номерца, оправих всичките сега

 

[alex.atanasov]

От: Сървър Секюрити Хелп

Можеш да разучиш и сложиш "maldet" - полезен е доста

 

[coolice]

suhosin имам и си бачка
това PhpSecInfo е добро наистина, намери 1 warning - allow_url_include is enabled, И няколо notice - memory_limit, post_max_size, upload_... set to a very high value, понеже е dedi- сървър с 8gb и не се скрънзя, сложил съм им големи номерца, оправих всичките сега

те тези препоръчителни на ограничения на рама са направо смешни каквито ги дава сигурно са същите и за сървъври с 512 рам така че мисля че е нп

то и аз се хванах да поразчоъркам и ъпгреидна то затова беше замалко на ерор 500 форума стискам палци всичко да е било достатъчно