النتائج 1 إلى 11 من 11

الموضوع: لصد مخترق السرفر نصحوني بما يلي

  1. #1
    عضو فعال جدا
    تاريخ التسجيل
    Jun 2003
    المشاركات
    2,547

    لصد مخترق السرفر نصحوني بما يلي



    السلام عليكم

    بعد مشاكل عديدة بسبب ارسال رسال spam من سرفري القديم ، أرسلت لي إفري وان هذه النصائح :

    Our investigation found that your server was only exploited. No rootkits
    were installed. Nor was root access achieved. None of you local user
    accounts had started the attack sript either.

    Simply put, the hacker exploited the system, most likely via an
    apache/website script, achieved a terminal shell connection simular to ssh
    and telnet, then proceeded to launched an outbound attack and did nothing
    else to the system.

    Some of the best ways to secure the server are: Have apache run under it's
    own user name (apache or httpd). Have the "user" account for apache be
    unable to execute files located in /tmp and /var/tmp directories. Also
    have the user account "nobody" should have these execution rights removed
    also. Nor should apache have access to execute any other applications
    beyond php/cgi/perl/ect to prevent future exploitation.

    Then you want to comb thru the httpd and other logs under /var/log/ and
    see if you can identify the means with which the hacker exploited the
    system to gain access. (IE did they use a buffer overflow exploit on
    apache? Or did they take advantage of some security hole on a website's
    perl/cgi/php/ect script ? Was the ftp service exploited?) Once the
    security hole that they came in on has been identified, you can set out to
    secure the server so that it's not exploited once more via that hole.

    المطلوب الآن يا أهل الخير ، أن تدلونا على طيفية تطبيقها ، فكيف أشغل الأباتشي تحت اسمه ؟ ( Have apache run under it'sown user name )

    أو كيف أمنع العضو من استخدام مجلد tmp ؟ ( Have the "user" account for apache be
    unable to execute files located in /tmp and /var/tmp directories )

    إلى آخر ما هناك من بنود في نصائحهم

    و شكرا مقدما لكل من ساهم





    __________________
    اطلق موقعك الخاص

    WWW.I3LANAT.ORG

    http://www.موقع-الزواج.com
    www.computerat.org
    www.saudicars.org
    www.sh3r.info
    www.sooq-elaqarat.com
    www.wazayef.org



    مسنجر : al-nassaj (@) hotmail.com


  2. #2
    عضو نشيط جدا
    تاريخ التسجيل
    Oct 2003
    المشاركات
    579


    بالنسبه للتمب tmp

    الي عده طرق لتحميه ,, منها سكربت securetmp ... شغله وهو رح يحول ال tmp الى noexec

    او فيك تعدله يدويي عن طريق ال etc/fstab

    في النسخ الجديده من اللينكس ومنها ريد هات وفيدورا بكون التمب في الدفولت noexec

    pico /etc/fstab

    بتحول التم على الشكل التالي loop,noexec,nosuid,rw 0 0

    او من الشيل بتعمله ماونت مباشر

    mount -o loop,noexec,nosuid,rw /tmp


    ..

    بالنسبه للاباشي ..

    مش عارف ليش طلب منك هيك لانه في الديفولت بكون اليوزر اباشي وفي منهم نوبدي

    على كل حال

    ابحت عن httpd.conf
    شوف ناتج الامر

    كود PHP:
    grep "User " /path/to/httpd.conf grep -^
    وشوف شو رح يطلع اليوزر اذا Apache ولا شي تانيي

    وكمان نفس الامر بس بدل User في Group

    ومنهم ببين شو ال UID and GID




    اي بحاول اكمل بالمختصر

    بالنسبه لطلبه حول ال Nobody وتحديد صلاحيته ومنعه من تشغيل اي ملف ,,, هذه ممكنه لكن في بعض الديمون في السيرفر بكونو شغاليين على شكل nobody ... فيك تشوفهم ps -aux



    والباقي بكون عليك في تحديد سبب الاختراق ,,, وشو السبب ومن وين اجيا ... طبعا بحكيلك شوف اللوج ,, اذا تم الاختراق فاعتقد ما في حد بترك وراه الوج في السيرفر ..

    المهم حاول تشوف اللوج وشوف اذا موجود .. خذ لفه في السيرفر كله وتفحصه وتفحص الديمونز الي عندك وشوف شو في ثغرات وحاول ترقي الديمونز

    معليش الاجوبه كانت مختصره شويي لانه الساعه 5 فجر ولساتني صاحي ,,





    __________________
    كل الناس لهم وطن يعيشون فيه .. الا نحن لنا وطن يعيش فينا
    www.buhaboard.de
    www.rootforum.de

  3. #3
    عضو نشيط جدا
    تاريخ التسجيل
    Oct 2003
    المشاركات
    579


    by the way alnassaj ,, are u from germany ?





    __________________
    كل الناس لهم وطن يعيشون فيه .. الا نحن لنا وطن يعيش فينا
    www.buhaboard.de
    www.rootforum.de

  4. #4
    عضو فعال جدا
    تاريخ التسجيل
    Jun 2003
    المشاركات
    2,547


    لا - لا اخي
    بس ليش من زعم ؟؟





    __________________
    اطلق موقعك الخاص

    WWW.I3LANAT.ORG

    http://www.موقع-الزواج.com
    www.computerat.org
    www.saudicars.org
    www.sh3r.info
    www.sooq-elaqarat.com
    www.wazayef.org



    مسنجر : al-nassaj (@) hotmail.com

  5. #5
    عضو سوبر نشيط
    تاريخ التسجيل
    Aug 2003
    المشاركات
    903


    لمنع المستخدم من تشغيل سكربتات من tmp

    كود:
    cd /dev
    
    dd if=/dev/zero of=tmpMnt bs=1024 count=100000
    
    /sbin/mke2fs /dev/tmpMnt
    
    cd /
    
    cp -R /tmp /tmp_backup
    
    mount -o loop,noexec,nosuid,rw /dev/tmpMnt /tmp
    
    chmod 0777 /tmp
    
    cp -R /tmp_backup/* /tmp/
    
    rm -rf /tmp_backup
    
    pico -w /etc/fstab
    راح تشاهد مثل هذا

    كود:
    /dev/hda3               /                       ext3    defaults,usrquota        1 1
    /dev/hda1               /boot                   ext3    defaults        1 2
    none                    /dev/pts                devpts  gid=5,mode=620  0 0
    none                    /proc                   proc    defaults        0 0
    none                    /dev/shm                tmpfs   defaults        0 0
    /dev/hda2               swap                    swap    defaults        0 0
    في أسفل الصفحة ضع هذا السطر

    كود:
    /dev/tmpMnt             /tmp                    ext2    loop,noexec,nosuid,rw  0 0
    بعدها Ctrl + X
    Y





    __________________
    www.alrutani.com
    موقع الروتاني للأستضافة
    سلطنة عمان

  6. #6
    عضو فعال جدا
    تاريخ التسجيل
    Jun 2003
    المشاركات
    2,547


    مشكووووووووور أخوي و بارك الله بعلمكم





    __________________
    اطلق موقعك الخاص

    WWW.I3LANAT.ORG

    http://www.موقع-الزواج.com
    www.computerat.org
    www.saudicars.org
    www.sh3r.info
    www.sooq-elaqarat.com
    www.wazayef.org



    مسنجر : al-nassaj (@) hotmail.com

  7. #7
    عضو نشيط جدا
    تاريخ التسجيل
    Jan 2002
    المشاركات
    554


    إذا لوحة التحكم للسيرفر cPanel

    يكفي هذا الأمر لحماية مجلد التمب فهو يقوم بكل ما ذكره الأخوان

    xxx /scripts/securetmp

    بدون xxx



    تحياتي





    __________________
    سعودي بروفايدر
    www.saudiprovider.net

    المبيعات : sales@saudiprovider.net
    الدعم الفني : support@saudiprovider.net
    خدمة العملاء : info@saudiprovider.net

  8. #8
    عضو نشيط جدا
    تاريخ التسجيل
    Oct 2003
    المشاركات
    579


    اقتباس المشاركة الأصلية كتبت بواسطة alnassaj
    لا - لا اخي aber bin zur Zeit dort

    بس ليش من زعم ؟؟

    شو يعني من زعم :shy:





    __________________
    كل الناس لهم وطن يعيشون فيه .. الا نحن لنا وطن يعيش فينا
    www.buhaboard.de
    www.rootforum.de

  9. #9
    Banned
    تاريخ التسجيل
    Jun 2004
    المشاركات
    250


    شو يعني من زعم
    اعتقد يعني انه مين اللي زعم انه من المانيا ؟؟ :funny:






  10. #10
    عضو فعال جدا
    تاريخ التسجيل
    Jun 2003
    المشاركات
    2,547


    أخ AntiServer عندك مسنجر أخوي ؟





    __________________
    اطلق موقعك الخاص

    WWW.I3LANAT.ORG

    http://www.موقع-الزواج.com
    www.computerat.org
    www.saudicars.org
    www.sh3r.info
    www.sooq-elaqarat.com
    www.wazayef.org



    مسنجر : al-nassaj (@) hotmail.com

  11. #11
    عضو نشيط جدا
    تاريخ التسجيل
    Oct 2003
    المشاركات
    579


    يمدحون في الرسام :nice:





    الصور المرفقة الصور المرفقة  
    __________________
    كل الناس لهم وطن يعيشون فيه .. الا نحن لنا وطن يعيش فينا
    www.buhaboard.de
    www.rootforum.de





ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •  

أضف موقعك هنا| اخبار السيارات | حراج | شقق للايجار في الكويت | بيوت للبيع في الكويت | دليل الكويت العقاري | مقروء | شركة كشف تسربات المياه | شركة عزل اسطح بالرياض | عزل فوم بالرياض| عزل اسطح بالرياض | كشف تسربات المياة بالرياض | شركة عزل اسطح بالرياض