LinuxSever.Com - Türkiye'nin Linux platformu
IzzyMenu.com

Go Back   LinuxSever.Com - Türkiye'nin Linux platformu > 3. Parti Yazılımları > Güvenlik Uygulamaları

Güvenlik Uygulamaları İşletim sistemi güvenliği için sisteminizde kurulu olması gereken yazılımlar hakkında bilgi ve destek forumu

Cevapla
 
Seçenekler Stil
Alt 04-04-2010, 10:09 PM   #1 (permalink)
Acemi Penguen
 
Üyelik tarihi: Apr 2010
Mesajlar: 3
Arrow symlink dosya okuma hack

merhaba

Linux sunucularda çözümüne rastlamadığım bir açıktan bahsedeceğim

herhangi bir siteden aynı sunucudaki diğer sitenin veri tabanı ayar dosyası shell yardımıyla okunabiliyor "symlink"

mod security ile birçok shell in çalışmasını engelledik ( fonksiyon adresleri bölümünden)
fakat fonksiyonlar için adres çubuğunu kullanmayan sheller çıktı onlara çözüm üretemiyoruz
Mod security versionu 2.5.12

httpdconf dosyasından tüm cgi perl fonksiyonları devredışı bırakıldı perl dosyası yazma izni 700
Mod security 2.5 kurulumu - GuvenliHost Destek Forumu
burdaki kuralları kullanıyoruz
+backconnect açığının da çözümüne rastlamadık shell fonksiyonlarının devredışı bırakılması dışında

Fonksiyonları devredışı bırakılamayan shell komutlar için adres çubuğunu kullanmıyor
örneğin

"""""""""""""""""""
SecRule REQUEST_URI "BURAYA adres çubuğunda göründüğünde sayfanın açılmasını istemediğimiz kelime yada karakterleri yazıyoruz" "id:350022,rev:1,severity:2,msg:'Atomicorp.com - FREE/UNSUPPORTED RULES - WAF Rules: Non-Existant File Google Recon attempt'"

""""""""""""""""
bu mod security 2.x kuralıdır ama bu shellde işe yaramıyor
siteadı.com/shell.php
herhangi bir sayfaya tıklandığında sayfa adresi
siteadı.com/shell.php# şeklinde göründüğü için fonksiyonları çalışıyor

sunucuda tüm gerekli fonksiyonlar disable edildi ama symlink açığını kapatamıyoruz kapatabilene de rastamaladım

forumunuzu inceledim değerli bilgiler var bu konuda da yardımcı olabilirsiniz umarım

Teşekkürler iyi çalışmalar
netnews isimli Üye şimdilik offline konumundadır   Alıntı ile Cevapla
Alt 04-12-2010, 12:23 AM   #2 (permalink)
Administrator
 
orhan - ait Kullanıcı Resmi (Avatar)
 
Üyelik tarihi: May 2009
Mesajlar: 331
Standart Cevap: symlink dosya okuma hack

Merhaba Kardeşim, öncelikle sunucun üzerinde bulunan kullanmadıgın yazılımları kaldırabilirsin misal back connect için kullanılan örnegin netcat ile başlayabilirsin.

which nc komutu ile netcat in konumunu bulup sunucundan silmeni tavsiye ederim, ikincisi sunucun üzerinde kullanmadıgın
cat
ln
vs gibi komutları gene which yardımı ile bularak chmod degerlerini 400 e sabitleyebilirsin. En önemlisi cpanel kullanıyorsan exec cgi destegini kapatmalısın, aklıma gelenler şimdilik bu kadar daha detaylı bakabilmem için örnek bir uygulama özelden atabilirsin.
orhan isimli Üye şimdilik offline konumundadır   Alıntı ile Cevapla
Alt 04-14-2010, 12:10 AM   #3 (permalink)
Acemi Penguen
 
Üyelik tarihi: Mar 2010
Mesajlar: 5
Standart Cevap: symlink dosya okuma hack

Alıntı:
orhan Nickli Üyeden Alıntı Mesajı göster
Merhaba Kardeşim, öncelikle sunucun üzerinde bulunan kullanmadıgın yazılımları kaldırabilirsin misal back connect için kullanılan örnegin netcat ile başlayabilirsin.

which nc komutu ile netcat in konumunu bulup sunucundan silmeni tavsiye ederim, ikincisi sunucun üzerinde kullanmadıgın
cat
ln
vs gibi komutları gene which yardımı ile bularak chmod degerlerini 400 e sabitleyebilirsin. En önemlisi cpanel kullanıyorsan exec cgi destegini kapatmalısın, aklıma gelenler şimdilik bu kadar daha detaylı bakabilmem için örnek bir uygulama özelden atabilirsin.
ek olarak

/usr/bin/ dizinindeki perl in mod ayarında oynama yap 500 e düşür. Perl türevindeki exploitlerin kullanımını bir nebze kesecektir. ( Tamamen değil ) komutsal alanı açık olan shellere bir nebze çözüm olur.
ancak bunların hiç birisni bu güvenlik açığından etkilenmeyi tamamen engelemez. sanırım iş yine güncelemelere kalıyor.
FreWaL isimli Üye şimdilik offline konumundadır   Alıntı ile Cevapla
Alt 04-30-2010, 04:40 PM   #4 (permalink)
Acemi Penguen
 
Üyelik tarihi: Apr 2010
Mesajlar: 3
Standart Cevap: symlink dosya okuma hack

ilginiz için teşekkürler büyük ölçüde çözüme ulaştık bir nevi..
netnews isimli Üye şimdilik offline konumundadır   Alıntı ile Cevapla
Alt 05-07-2010, 03:23 AM   #5 (permalink)
Acemi Penguen
 
Üyelik tarihi: Apr 2010
Mesajlar: 1
Standart Cevap: symlink dosya okuma hack

teşekkürler
selcuk165 isimli Üye şimdilik offline konumundadır   Alıntı ile Cevapla
Cevapla


Konuyu Toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir)
 
Seçenekler
Stil

Yetkileriniz
Konu Acma Yetkiniz Yok
Cevap Yazma Yetkiniz Yok
Eklenti Yükleme Yetkiniz Yok
Mesajınızı Değiştirme Yetkiniz Yok

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodu Kapalı
Trackbacks are Açık
Pingbacks are Açık
Refbacks are Açık