[CentOS-pt-br] Apache deixando criar arquivos maliciosos

Marcelo Gondim gondim em linuxinfo.com.br
Quarta Maio 13 18:08:41 UTC 2009 

Opa Renato,

Pois é todas as páginas tem essa instrução e o /tmp. Mas é no /tmp mesmo
que ele tá colocando o arquivo e rodando. Não posso restringir permissão
de escrita porque alguma aplicação que ainda estou vendo grava arquivos
sess_?????  no /tmp, provavelmente é o webmail. Vou checar isso. O que
fiz por enquanto foi remover alguns módulos do apache e bloqueei o
servidor de acessar portas externas que não sejam os serviços de correio
e dns. Dessa maneira ele não vai conseguir baixar o arquivo. Antigamente
o mod_security pegava e barrava ele, agora ele conseguiu um meio de
burlar o mod_security. Estranho que ele só tá conseguindo isso no
servidor que tá com CentOS no outro que é Debian não consegue. Será que
existe alguma vulnerabilidade no apache do CentOS que eles ainda não
viram? É uma pergunta à se fazer.

Em Qua, 2009-05-13 às 11:43 -0300, Renato de Oliveira Diogo escreveu:
> Bom, quando monto um servidor apache, além do mod-security, ainda
> implemento duas políticas:
> 
> o apache tem permissão de somente leitura na estrutura em que ele pode
> consultar. Somente em local que realmente ele deve ter permissão de
> escrita que é liberado, do resto somente leitura.
> 
> outra coisa é você restringir usando o parametro do "php
> php_admin_value open_basedir "/var/www/caminho/httpdocs:/tmp"
> 
> ou seja, o php conseguirá acessar somente os caminhos que for estipulado aqui.
> 
> Atenciosamente
> ________________________________________________
> Renato de Oliveira Diogo
> 
> Bacharel em Ciência da Computação
> UNESP - Bauru
> 
> LPIC1 - Linux Professional Institute Certification - Nível 1
> 
> renato.diogo em gmail.com
> renato.diogo em yahoo.com.br
> 
> 
> 
> 2009/5/13 Little_Oak <whilelive em gmail.com>:
> >
> > Tu roda SuExec?
> > Teu php roda como CGI?
> > Tu roda mod_Evasive?
> > Sobre cgi teus arquivos tem permissão 644 e os diretórios 755?
> >
> > Atente para isto acima e metade das ocorrências deverá acabar (senão mais).
> >
> > Depende muito de tuas rules também (no modsec).
> >
> >
> > --
> > --------------------------------
> > http://littleoak.wordpress.com -> Dia a dia
> > http://www.nerdblog.info -> For Geeks
> > ++++++++++++++++
> > Tragédia: E minha bisavó, antes de morrer lendo código sem comentários
> > dizia: "Filho de uma égua..."
> >
> >
> > _______________________________________________
> > CentOS-pt-br mailing list
> > CentOS-pt-br em centos.org
> > http://lists.centos.org/mailman/listinfo/centos-pt-br
> >
> >
> _______________________________________________
> CentOS-pt-br mailing list
> CentOS-pt-br em centos.org
> http://lists.centos.org/mailman/listinfo/centos-pt-br

Mais detalhes sobre a lista de discussão CentOS-pt-br