Показаны сообщения с ярлыком Безопасность. Показать все сообщения
Показаны сообщения с ярлыком Безопасность. Показать все сообщения
четверг, 2 декабря 2010 г.
вторник, 30 ноября 2010 г.
Можно ли выполнить бинарный код в noexec файловой системе по аналогии с интерпретируемым скриптом?
Итак, имеем noexec файловую систему /tmp, копируем туда некий бинарик:
Пробуем его запустить напрямую:
А если попробовать заюзать хак, который работал некоторое время раньше (с точностью до версий ядер не скажу, но работал):
И да, правда не нашел способа обойти :)
Источник: http://forums.grsecurity.net/viewtopic.php?f=3&t=1624
cp /bin/ls /tmp
Пробуем его запустить напрямую:
/tmp/ls
-bash: /tmp/ls: Permission denied
А если попробовать заюзать хак, который работал некоторое время раньше (с точностью до версий ядер не скажу, но работал):
/lib64/ld-linux-x86-64.so.2 /tmp/ls
/tmp/ls: error while loading shared libraries: /tmp/ls: failed to map segment from shared object: Operation not permitted
И да, правда не нашел способа обойти :)
Источник: http://forums.grsecurity.net/viewtopic.php?f=3&t=1624
среда, 3 ноября 2010 г.
среда, 20 октября 2010 г.
Руководство по повышению безопасности RHEL5 (CentOS 5) от АНБ (NSA) США
Ссылка: http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf (внимание, 170 страниц!)
А вот краткий набор советов по безопасности: http://www.nsa.gov/ia/_files/factsheets/rhel5-pamphlet-i731.pdf (рекомендую ВСЕМ! Хотя, на мой взгляд, не все там однозначно)
Зеркала ссылок искать здесь: http://code.google.com/p/fastvps/source/browse/#svn/trunk/other
А вот краткий набор советов по безопасности: http://www.nsa.gov/ia/_files/factsheets/rhel5-pamphlet-i731.pdf (рекомендую ВСЕМ! Хотя, на мой взгляд, не все там однозначно)
Зеркала ссылок искать здесь: http://code.google.com/p/fastvps/source/browse/#svn/trunk/other
воскресенье, 17 октября 2010 г.
sshproxy - безопасный доступ к ssh
Так как офсайт лежит, выкладываю сссылку на Debian:
http://packages.debian.org/lenny/sshproxy
http://packages.debian.org/lenny/sshproxy
воскресенье, 3 октября 2010 г.
Ограничить доступ юзера к SSH по ключу только определенным IP
man 8 sshd
from="pattern-list"
Specifies that in addition to public key authentication, the canonical name of the
remote host must be present in the comma-separated list of patterns (‘*’ and ‘?’ serve
as wildcards). The list may also contain patterns negated by prefixing them with ‘!’;
if the canonical host name matches a negated pattern, the key is not accepted. The pur-
pose of this option is to optionally increase security: public key authentication by
itself does not trust the network or name servers or anything (but the key); however, if
somebody somehow steals the key, the key permits an intruder to log in from anywhere in
the world. This additional option makes using a stolen key more difficult (name servers
and/or routers would have to be compromised in addition to just the key).
понедельник, 27 сентября 2010 г.
Возможно ли из веб-скрипта, запущенного от имени Apache, добавить CRON задачу для Apache?
Еще как:
crontab -l -u www-data
* * * * * /var/tmp/.access.log/y2kupdate >/dev/null 2>&1
суббота, 25 сентября 2010 г.
пятница, 17 сентября 2010 г.
Очередной локальный root эксплоит для ядер Linux с 2.6.26-rc1 до 2.6.36-rc4 (а также ядер 2.6.18 от RHEL)
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2010-3081
Подробности проблемы: https://access.redhat.com/kb/docs/DOC-40265
P.S. фикса еще нету.
RHEL 5 / CentOS 5 уязвимы, так как этот патч был бэкпортирован в 2.6.18 RHEL ядра.
Debian 5 Lenny уязвим, но вот фиксы: http://www.debian.org/security/2010/dsa-2110. Проблеме не подвержены ядра начиная с 2.6.26-25lenny1.
Есть workaround: http://seclists.org/fulldisclosure/2010/Sep/273
Подробности проблемы: https://access.redhat.com/kb/docs/DOC-40265
P.S. фикса еще нету.
RHEL 5 / CentOS 5 уязвимы, так как этот патч был бэкпортирован в 2.6.18 RHEL ядра.
Debian 5 Lenny уязвим, но вот фиксы: http://www.debian.org/security/2010/dsa-2110. Проблеме не подвержены ядра начиная с 2.6.26-25lenny1.
Есть workaround: http://seclists.org/fulldisclosure/2010/Sep/273
понедельник, 13 сентября 2010 г.
четверг, 9 сентября 2010 г.
AXFR и безопасность DNS
Всем, кто когда бы то ни было использовал / настраивал DNS сервисы крайне обязательно к прочтению: http://habrahabr.ru/blogs/infosecurity/88545/
Как узнать, выдает ли Ваш DNS подробные данные о содержимом зоны (AXFR) ? Легко:
Или посредством веб-сервиса: http://www.digitalpoint.com/tools/zone-transfer/?domain=domain.ru
И если в ответ Вы получаете полотно зоны, то Ваш DNS сервер настроен некорректно и любой может узнать список Ваших поддоменов.
Как победить проблему? Вот пример для Debian. Открываем конфиг-файл:
И там внутрь блока options добавляем (тем самым мы позволяем только нашим DNS серверам дергать зону и никому больше):
Перезапускаем DNS:
Все, проблема решена :)
Как узнать, выдает ли Ваш DNS подробные данные о содержимом зоны (AXFR) ? Легко:
dig -t AXFR domain.ru @ns.domain.ru
Или посредством веб-сервиса: http://www.digitalpoint.com/tools/zone-transfer/?domain=domain.ru
И если в ответ Вы получаете полотно зоны, то Ваш DNS сервер настроен некорректно и любой может узнать список Ваших поддоменов.
Как победить проблему? Вот пример для Debian. Открываем конфиг-файл:
vi /etc/bind/named.conf.options
И там внутрь блока options добавляем (тем самым мы позволяем только нашим DNS серверам дергать зону и никому больше):
allow-transfer { ip_первичного_днс; ip_вторичного_днс; };
Перезапускаем DNS:
/etc/init.d/bind9 restart
Все, проблема решена :)
воскресенье, 22 августа 2010 г.
четверг, 5 августа 2010 г.
Критическая уязвимость в PhpMyAdmin и работающий эксплоит на нее
По проверенной информации, для PhpMyAdmin имеется эксплоит, позволяющий взломать сервер, как физический, так и виртуальный. Он уже используется как минимум пару дней и как результат его действий может быть наличие файлов /tmp/vm.c и /tmp/dd_ssh, являющихся зловредным ПО. Поэтому требуется в срочном порядке обновить PhpMyAdmin.
Инструкция по обновлению на Debian
Вот репорт об этой проблем от Debian Security Team:
http://www.debian.org/security/2010/dsa-2034
До обновления проверьте используемую версию Debian:
Если цифры 5.0.*, то у Вас Lenny и продолжайте читать инструкцию. Если же 4.0.*, то стоит прибегнуть к услугам сторонних администраторов (либо нашей поддержки), чтобы они обновили систему до Lenny.
Для обновления PhpMyAdmin на Debian 5 Lenny сделайте следующее:
Если же Вы обладаете навыками администрирования, то лучше обновите всю систему целиком:
Инструкция по обновлению на CentOS
Сначала нужно подключить Epel репозиторий, это делается по инструкции: http://phpsuxx.blogspot.com/2009/03/centos-rhel.html
Либо в идеале, если есть навыки администрирования, то обновляем всю систему:
Уважаемые клиенты FastVPS! Если у Вас возникнут проблемы с обновлением, пишите в саппорт, мы все можем сделать за Вас!
Гарантированно уязвимые версии:
Также, если использовался конфиг PhpMyAdmin от ISPManager, то при входе в PhpMyAdmin после апдейта может выдаваться ошибка:
Исправлять ее так: http://phpsuxx.blogspot.com/2010/08/ispmanager-cookie-cfgblowfishsecret.html
Еще тема с обсуждением: http://habrahabr.ru/blogs/infosecurity/101110/
Инструкция по обновлению на Debian
Вот репорт об этой проблем от Debian Security Team:
http://www.debian.org/security/2010/dsa-2034
До обновления проверьте используемую версию Debian:
cat /etc/debian_version
5.0.5
Если цифры 5.0.*, то у Вас Lenny и продолжайте читать инструкцию. Если же 4.0.*, то стоит прибегнуть к услугам сторонних администраторов (либо нашей поддержки), чтобы они обновили систему до Lenny.
Для обновления PhpMyAdmin на Debian 5 Lenny сделайте следующее:
apt-get update;
apt-get upgrade -y phpmyadmin;
Если же Вы обладаете навыками администрирования, то лучше обновите всю систему целиком:
apt-get upgrade -y;
Инструкция по обновлению на CentOS
Сначала нужно подключить Epel репозиторий, это делается по инструкции: http://phpsuxx.blogspot.com/2009/03/centos-rhel.html
yum upgrade -y phpmyadmin;
Либо в идеале, если есть навыки администрирования, то обновляем всю систему:
yum update -y;
Уважаемые клиенты FastVPS! Если у Вас возникнут проблемы с обновлением, пишите в саппорт, мы все можем сделать за Вас!
Гарантированно уязвимые версии:
ii phpmyadmin 4:2.11.8.1-5+lenny3 MySQL web administration tool
ii phpmyadmin 4:2.11.8.1-5+lenny1 MySQL web administration tool
Также, если использовался конфиг PhpMyAdmin от ISPManager, то при входе в PhpMyAdmin после апдейта может выдаваться ошибка:
При cookie-аутентификации, в конфигурационном файле необходимо задать парольную фразу установив значение директивы $cfg['blowfish_secret']
Исправлять ее так: http://phpsuxx.blogspot.com/2010/08/ispmanager-cookie-cfgblowfishsecret.html
Еще тема с обсуждением: http://habrahabr.ru/blogs/infosecurity/101110/
среда, 26 мая 2010 г.
Зачем удалять gcc? Или параноикам (не включающим мозг) посвящается.
... Isn't that security problem?
The days when you could prevent people from running non-approved programs by removing the C compiler from your system ended roughly with the VAX 11/780 computer.
(c) http://varnish-cache.org/wiki/FAQ
пятница, 23 апреля 2010 г.
Как обязать клиентов использовать https на сайте?
Вот такой записью в файле .htaccess:
RewriteEngine on
RewriteCond %{SERVER_PORT} !^443$
# или так:
# RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]
среда, 31 марта 2010 г.
ПХПшникам привед!
В коде генерации номеров уникальных пользовательских сессий и уникальных идентификаторов (uniqid) PHP найдена недоработка, позволяющая злоумышленнику предсказать другие номера последовательности, зная текущий номер сессии (например, войдя на форум можно подобрать номера сессий других пользователей). Проблема вызвана некорректной инициализацией генератора случайных чисел в PHP, начальные значение затравки для которого можно предсказать с достаточно высокой степенью вероятности.
Это феерия, да. Впрочем, то что пхпшники плохо дружат с головой было ясно всегда, но чтобы до такой степени - это жесть :)
вторник, 30 марта 2010 г.
Защита от фишинга правилом .htaccess
Вот таким простым правилом можно легко срезать всех, кто направляет на Вас свой домен в каких-либо целях:
При таком раскладе, если Ваш сайт открыт не с Вашего домена, он получит редирект на Гугл.
RewriteEngine On
RewriteCond %{HTTP_HOST} !^(www.)?domain.ru$
RewriteRule ^$ http://google.com [R]
При таком раскладе, если Ваш сайт открыт не с Вашего домена, он получит редирект на Гугл.
пятница, 19 марта 2010 г.
четверг, 11 марта 2010 г.
Восстановление служебных логов после хакерской атаки на сервер
Можно сделать просто:
touch wtmp btmp
Подписаться на:
Сообщения
(
Atom
)