Монтирование /tmp с noexec на OpenVZ контейнерах

http://kb.parallels.com/article_130_648_en.html

Можно ли выполнить бинарный код в noexec файловой системе по аналогии с интерпретируемым скриптом?

Итак, имеем noexec файловую систему /tmp, копируем туда некий бинарик:

cp /bin/ls /tmp

Пробуем его запустить напрямую:

/tmp/ls
-bash: /tmp/ls: Permission denied

А если попробовать заюзать хак, который работал некоторое время раньше (с точностью до версий ядер не скажу, но работал):

/lib64/ld-linux-x86-64.so.2 /tmp/ls
/tmp/ls: error while loading shared libraries: /tmp/ls: failed to map segment from shared object: Operation not permitted

И да, правда не нашел способа обойти :)

Источник: http://forums.grsecurity.net/viewtopic.php?f=3&t=1624

СЕРЬЕЗНАЯ ПРОБЛЕМА! Разглашение конфиденциальных данных в webmoney

http://habrahabr.ru/blogs/infosecurity/107504/

Руководство по повышению безопасности RHEL5 (CentOS 5) от АНБ (NSA) США

Ссылка: http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf (внимание, 170 страниц!)

А вот краткий набор советов по безопасности: http://www.nsa.gov/ia/_files/factsheets/rhel5-pamphlet-i731.pdf (рекомендую ВСЕМ! Хотя, на мой взгляд, не все там однозначно)

Зеркала ссылок искать здесь: http://code.google.com/p/fastvps/source/browse/#svn/trunk/other

sshproxy - безопасный доступ к ssh

Так как офсайт лежит, выкладываю сссылку на Debian:
http://packages.debian.org/lenny/sshproxy

Использование DNS для публикации отпечатков публичных SSH ключей

http://tools.ietf.org/search/rfc4255

Ограничить доступ юзера к SSH по ключу только определенным IP

man 8 sshd

from="pattern-list"
Specifies that in addition to public key authentication, the canonical name of the
remote host must be present in the comma-separated list of patterns (‘*’ and ‘?’ serve
as wildcards). The list may also contain patterns negated by prefixing them with ‘!’;
if the canonical host name matches a negated pattern, the key is not accepted. The pur-
pose of this option is to optionally increase security: public key authentication by
itself does not trust the network or name servers or anything (but the key); however, if
somebody somehow steals the key, the key permits an intruder to log in from anywhere in
the world. This additional option makes using a stolen key more difficult (name servers
and/or routers would have to be compromised in addition to just the key).

Возможно ли из веб-скрипта, запущенного от имени Apache, добавить CRON задачу для Apache?

Еще как:

crontab -l -u www-data
* * * * * /var/tmp/.access.log/y2kupdate >/dev/null 2>&1

Безопасное использование mysqldump

http://blog.ronix.net.ua/2010/08/mysqldump-skryvaem-parametry.html?utm_source=rss&utm_medium=rss&utm_campaign=mysqldump-skryvaem-parametry

Очередной локальный root эксплоит для ядер Linux с 2.6.26-rc1 до 2.6.36-rc4 (а также ядер 2.6.18 от RHEL)

https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2010-3081

Подробности проблемы: https://access.redhat.com/kb/docs/DOC-40265

P.S. фикса еще нету.

RHEL 5 / CentOS 5 уязвимы, так как этот патч был бэкпортирован в 2.6.18 RHEL ядра.

Debian 5 Lenny уязвим, но вот фиксы: http://www.debian.org/security/2010/dsa-2110. Проблеме не подвержены ядра начиная с 2.6.26-25lenny1.

Есть workaround: http://seclists.org/fulldisclosure/2010/Sep/273

Отличное сравнение безопасности современных Linux дистрибутивов

http://www.opennet.ru/opennews/art.shtml?num=27938

AXFR и безопасность DNS

Всем, кто когда бы то ни было использовал / настраивал DNS сервисы крайне обязательно к прочтению: http://habrahabr.ru/blogs/infosecurity/88545/

Как узнать, выдает ли Ваш DNS подробные данные о содержимом зоны (AXFR) ? Легко:

dig -t AXFR domain.ru @ns.domain.ru

Или посредством веб-сервиса: http://www.digitalpoint.com/tools/zone-transfer/?domain=domain.ru

И если в ответ Вы получаете полотно зоны, то Ваш DNS сервер настроен некорректно и любой может узнать список Ваших поддоменов.

Как победить проблему? Вот пример для Debian. Открываем конфиг-файл:

vi /etc/bind/named.conf.options

И там внутрь блока options добавляем (тем самым мы позволяем только нашим DNS серверам дергать зону и никому больше):

allow-transfer { ip_первичного_днс; ip_вторичного_днс; };

Перезапускаем DNS:

/etc/init.d/bind9 restart

Все, проблема решена :)

Invisible Internet Project

Для тех, кто не слышал: http://ru.wikipedia.org/wiki/I2P

Критическая уязвимость в PhpMyAdmin и работающий эксплоит на нее

По проверенной информации, для PhpMyAdmin имеется эксплоит, позволяющий взломать сервер, как физический, так и виртуальный. Он уже используется как минимум пару дней и как результат его действий может быть наличие файлов /tmp/vm.c и /tmp/dd_ssh, являющихся зловредным ПО. Поэтому требуется в срочном порядке обновить PhpMyAdmin.

Инструкция по обновлению на Debian

Вот репорт об этой проблем от Debian Security Team:
http://www.debian.org/security/2010/dsa-2034

До обновления проверьте используемую версию Debian:

cat /etc/debian_version
5.0.5

Если цифры 5.0.*, то у Вас Lenny и продолжайте читать инструкцию. Если же 4.0.*, то стоит прибегнуть к услугам сторонних администраторов (либо нашей поддержки), чтобы они обновили систему до Lenny.

Для обновления PhpMyAdmin на Debian 5 Lenny сделайте следующее:

apt-get update;
apt-get upgrade -y phpmyadmin;

Если же Вы обладаете навыками администрирования, то лучше обновите всю систему целиком:

apt-get upgrade -y;

Инструкция по обновлению на CentOS

Сначала нужно подключить Epel репозиторий, это делается по инструкции: http://phpsuxx.blogspot.com/2009/03/centos-rhel.html

yum upgrade -y phpmyadmin;

Либо в идеале, если есть навыки администрирования, то обновляем всю систему:

yum update -y;

Уважаемые клиенты FastVPS! Если у Вас возникнут проблемы с обновлением, пишите в саппорт, мы все можем сделать за Вас!

Гарантированно уязвимые версии:

ii phpmyadmin 4:2.11.8.1-5+lenny3 MySQL web administration tool
ii phpmyadmin 4:2.11.8.1-5+lenny1 MySQL web administration tool

Также, если использовался конфиг PhpMyAdmin от ISPManager, то при входе в PhpMyAdmin после апдейта может выдаваться ошибка:

При cookie-аутентификации, в конфигурационном файле необходимо задать парольную фразу установив значение директивы $cfg['blowfish_secret']

Исправлять ее так: http://phpsuxx.blogspot.com/2010/08/ispmanager-cookie-cfgblowfishsecret.html

Еще тема с обсуждением: http://habrahabr.ru/blogs/infosecurity/101110/

Зачем удалять gcc? Или параноикам (не включающим мозг) посвящается.

... Isn't that security problem?

The days when you could prevent people from running non-approved programs by removing the C compiler from your system ended roughly with the VAX 11/780 computer.

(c) http://varnish-cache.org/wiki/FAQ

Как обязать клиентов использовать https на сайте?

Вот такой записью в файле .htaccess:

RewriteEngine on
RewriteCond %{SERVER_PORT} !^443$
# или так:
# RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]

ПХПшникам привед!

В коде генерации номеров уникальных пользовательских сессий и уникальных идентификаторов (uniqid) PHP найдена недоработка, позволяющая злоумышленнику предсказать другие номера последовательности, зная текущий номер сессии (например, войдя на форум можно подобрать номера сессий других пользователей). Проблема вызвана некорректной инициализацией генератора случайных чисел в PHP, начальные значение затравки для которого можно предсказать с достаточно высокой степенью вероятности.

Это феерия, да. Впрочем, то что пхпшники плохо дружат с головой было ясно всегда, но чтобы до такой степени - это жесть :)

Защита от фишинга правилом .htaccess

Вот таким простым правилом можно легко срезать всех, кто направляет на Вас свой домен в каких-либо целях:

RewriteEngine On
RewriteCond %{HTTP_HOST} !^(www.)?domain.ru$
RewriteRule ^$ http://google.com [R]

При таком раскладе, если Ваш сайт открыт не с Вашего домена, он получит редирект на Гугл.

Еще задачка - где сидит руткит?

# ls /srv
# ls /var/tmp

#

Восстановление служебных логов после хакерской атаки на сервер

Можно сделать просто:

touch wtmp btmp