[CentOS-es] Seguridad en CentOS+Apache+PHP+MySQL+Joomla
Carlos Bortolini Acurumo
bortolini en gmail.com
Jue Feb 11 21:22:25 UTC 2010
Modsecurity es una extensión para Apache que te brinda varias
acciones/opciones relacionadas con la seguridad del servidor web.
http://www.modsecurity.org/
CARLOS BORTOLINI ACURUMO
Ingeniero en Informática
bortolini en gmail.com
Teléfono: +591 347 4546
Móvil: +591 766 69617
Santa Cruz - Bolivia
2010/2/11 David González Romero <dgr en dic.ohc.cu>
> Bien lista!!
>
> Tengo un amigo con una configuración como la del subject:
> CentOS+Apache+PHP+MySQL+Joomla.
>
> En los últimos tiempos descubrió algunos probelmas de seguridad los
> cuales dieron pie a que un atacante introdujera codigo dentro del
> sistema de archivo que se ejecutaba tanto con permisos de apache y
> nobody. Este código principalmente fue introducir un software de webchat
> y en segundo plano un script de perl que levantaba una
> aplicación/demonio para hacer scan de puertos a diferentes direcciones
> de IRC.
>
> En fin la razón es la siguiente en el reporte de Logwacht aparecia algo
> como esto:
>
> Commands Run:
> User apache:
> /tmp/.psy/y2kupdate >/dev/null 2>&1: 1440 Time(s)
>
> Al buscar que era esto encontré, junto con mi amigo, algunas cosas
> interesantes:
> 1- Apareción en una carpeta interna de un virtual host con Joomla una
> carpeta no pertenenciente al Joomla
> (../administrator/components/com_installer/mambot/components) que
> contenia ciertos y determinados script ejecutables y algunos binarios
> 2- el contenido:
> [root en server components]# ll
> total 360
> -rwxr-xr-x 1 apache apache 141 Feb 5 2006 config
> -rwxr-xr-x 1 apache apache 929 Feb 5 2006 config.h
> -rw-r--r-- 1 apache apache 118 Jan 31 02:34 cron.d
> -rwxr-xr-x 1 apache apache 341 Feb 5 2006 fuck
> drwxr-xr-x 2 apache apache 4096 Feb 5 2006 help
> -rw-r--r-- 1 apache apache 52960 Jan 31 02:36 ht.pl
> drwxr-xr-x 2 apache apache 4096 Feb 5 2006 lang
> drwxr-xr-x 2 apache apache 4096 Feb 1 09:44 log
> drwxr-xr-x 2 apache apache 4096 Feb 5 2006 motd
> -rwxr-xr-x 1 apache apache 14306 Feb 5 2006 proc
> -rwxr-xr-x 1 apache apache 202544 Feb 5 2006 psybnc
> -rwxr-xr-x 1 apache apache 77 Feb 5 2006 psybnc.conf
> -rw------- 1 apache apache 5 Feb 1 09:44 psybnc.pid
> -rwxr-xr-x 1 apache apache 66 Feb 5 2006 run
> drwxr-xr-x 3 apache apache 4096 Jul 3 2007 scripts
> -rw-r--r-- 1 apache apache 76 Jan 31 02:34 ssstt
> -rw-r--r-- 1 apache apache 82 Jan 31 02:34 ssstt.dir
> -rwxr-xr-x 1 apache apache 21516 Feb 5 2006 xh
> -rwxr--r-- 1 apache apache 383 Jan 31 02:34 y2kupdate
>
> 3- Una busqueda en los procesos ejecutandose salio esto:
> /usr/sbin/httpd -DSSL
>
> Bueno para no hacer larga la historia usando dos o tres herramientas y
> el netstat pudimos dar con el proceso y matarlo.
>
> Pero seguia saliendo en el repote de Logwacht lo del y2kupdate y
> buscando encontramos que en /var/spool/cron habia un fichero llamado
> apache que contenia:
> * * * * * /tmp/.psy/y2kupdate >/dev/null 2>&1
>
> Al final mi pregunta va en dos sentidos:
>
> A- Hay alguna forma para saber quien escribió, y donde en el sistema de
> archivos, especificamente en este directorio del /var/spool/cron.
>
> Pienso que como Linux usa un sistema Journalist imagino que exista una
> traza de los cambios en el Sistema de Ficheros en un momento determinado.
>
> B- Hay forma de endurecer las politicas de acceso a los directorios de
> los virtualhost de apache y del tmp, y que no ejecuten codigo
> arbitrariamente?
>
> Saludos,
> David
>
> --
> _________________________________________________
> Lic. David González Romero
> Network/System Administrator
> DIC- OHC Dirección de Informática y Comunicaciones
> Oficina del Historiador de la Ciudad
> Ave Puerto. Edif. Lonja del Comercio 5H
> Telf:(537)8608808, 8608853 ext 109
> Linux counter: 242534
> __________________________________________________
>
>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
--
Saludos,
Carlos Bortolini Acurumo
Cel +591 766-69617
Email: bortolini en gmail.com
Santa Cruz - Bolivia
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://lists.centos.org/pipermail/centos-es/attachments/20100211/ad55e4ef/attachment-0001.html
Más información sobre la lista de distribución CentOS-es