[CentOS-pt-br] Apache deixando criar arquivos maliciosos

[Antonio da Silva Martins Junior]

Olá Marcelo,
  
 O problema não é o apache, e sim a aplicação que está com problema. 
Mas o maior problema é encontrar esta aplicação e resolver o problema :D

          Antonio.


----- "Marcelo Gondim" <gondim em linuxinfo.com.br> escreveu:

> Opa Renato,
> 
> Pois é todas as páginas tem essa instrução e o /tmp. Mas é no /tmp
> mesmo
> que ele tá colocando o arquivo e rodando. Não posso restringir
> permissão
> de escrita porque alguma aplicação que ainda estou vendo grava
> arquivos
> sess_?????  no /tmp, provavelmente é o webmail. Vou checar isso. O
> que
> fiz por enquanto foi remover alguns módulos do apache e bloqueei o
> servidor de acessar portas externas que não sejam os serviços de
> correio
> e dns. Dessa maneira ele não vai conseguir baixar o arquivo.
> Antigamente
> o mod_security pegava e barrava ele, agora ele conseguiu um meio de
> burlar o mod_security. Estranho que ele só tá conseguindo isso no
> servidor que tá com CentOS no outro que é Debian não consegue. Será
> que
> existe alguma vulnerabilidade no apache do CentOS que eles ainda não
> viram? É uma pergunta à se fazer.
> 
> Em Qua, 2009-05-13 Ã s 11:43 -0300, Renato de Oliveira Diogo escreveu:
> > Bom, quando monto um servidor apache, além do mod-security, ainda
> > implemento duas políticas:
> > 
> > o apache tem permissão de somente leitura na estrutura em que ele
> pode
> > consultar. Somente em local que realmente ele deve ter permissão de
> > escrita que é liberado, do resto somente leitura.
> > 
> > outra coisa é você restringir usando o parametro do "php
> > php_admin_value open_basedir "/var/www/caminho/httpdocs:/tmp"
> > 
> > ou seja, o php conseguirá acessar somente os caminhos que for
> estipulado aqui.
> > 
> > Atenciosamente
> > ________________________________________________
> > Renato de Oliveira Diogo
> > 
> > Bacharel em Ciência da Computação
> > UNESP - Bauru
> > 
> > LPIC1 - Linux Professional Institute Certification - Nível 1
> > 
> > renato.diogo em gmail.com
> > renato.diogo em yahoo.com.br
> > 
> > 
> > 
> > 2009/5/13 Little_Oak <whilelive em gmail.com>:
> > >
> > > Tu roda SuExec?
> > > Teu php roda como CGI?
> > > Tu roda mod_Evasive?
> > > Sobre cgi teus arquivos tem permissão 644 e os diretórios 755?
> > >
> > > Atente para isto acima e metade das ocorrências deverá acabar
> (senão mais).
> > >
> > > Depende muito de tuas rules também (no modsec).
> > >
> > >
> > > --
> > > --------------------------------
> > > http://littleoak.wordpress.com -> Dia a dia
> > > http://www.nerdblog.info -> For Geeks
> > > ++++++++++++++++
> > > Tragédia: E minha bisavó, antes de morrer lendo código sem
> comentários
> > > dizia: "Filho de uma égua..."
> > >
> > >
> > > _______________________________________________
> > > CentOS-pt-br mailing list
> > > CentOS-pt-br em centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-pt-br
> > >
> > >
> > _______________________________________________
> > CentOS-pt-br mailing list
> > CentOS-pt-br em centos.org
> > http://lists.centos.org/mailman/listinfo/centos-pt-br
> 
> _______________________________________________
> CentOS-pt-br mailing list
> CentOS-pt-br em centos.org
> http://lists.centos.org/mailman/listinfo/centos-pt-br
> 
> -- 
> Esta mensagem foi verificada pelo sistema de antivírus e
>  acredita-se estar livre de perigo.

-- 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Antonio S. Martins Jr. - Support Analist | "Only The Shadow Knows     |
| Universidade Estadual de Maringá - Brasil|   what evil lurks in the   |
| NPD - Núcleo de Processamento de Dados   |       Heart of Men!"       |
| E-Mail: asmartins em uem.br / shadow em uem.br | !!! Linux User: 52392 !!!  |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
     "Real Programmers don’t need comments — the code is obvious."

-- 
Esta mensagem foi verificada pelo sistema de antivírus e
 acredita-se estar livre de perigo.