توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : حل مشکل امنیتی symlink در سی پنل .
j4b3r
September 14th, 2012, 16:10
مشکل symlink که باعث هک شدن و دسترسی کامل هکر به سرور میشه
مشکل شایعی هست که جدیدا تعداد زیادی از سرورها به این طریق هک شدند.
چند وقت پیش به این روش برای حل مشکل رسیدم متاسفانه منبع رو یادم رفته
روش کار ساده است
این فایل رو دانلود کنید:
www.gatefa.com/Apache.zip
سپس دو فایل موجود در فایل زیپ رو در پوشه زیر آپلود کنید
( با دسترسی یوزر روت)
حالا اقدام به استفده از easyapche کنید
در قسمت Exhaustive Options
گزینه SymlinkProtection رو تیک بزنید و مجددا کامپایل کنید.
8461
امیداورم مفید باشه.
HugeServer
September 14th, 2012, 23:34
همچنین میتوانید کرنل رو patch کنید برای امنیت بیشتر.
j4b3r
September 15th, 2012, 00:00
همچنین میتوانید کرنل رو patch کنید برای امنیت بیشتر.
اگر ممکن هست روش پچ کردن کرنل رو توضیح بدید
پیشاپیش تشکر
secure_host
September 18th, 2012, 15:48
با سلام
آره میشه symlink رو از کرنل patch کرد که patch مربوطه توسط Mr.Brad از GrSecurity ارایه شده که در حال حاضر بر روی cloudlinux می تونید ازش استفاده کنید.
یک راه حل دیگه استفاده از mod_ruid می باشد.
با تشکر
www.denaserver.com
September 19th, 2012, 03:06
سلام
یک سوال داشتم !
اگر فایروال Csf هم نصب داشته باشیم باز هم می تونن با باگ symlink هک کنن ؟
Talahost.Com
September 19th, 2012, 03:46
سلام
یک سوال داشتم !
اگر فایروال Csf هم نصب داشته باشیم باز هم می تونن با باگ symlink هک کنن ؟
سلام
بله sym ارتباطی به csf نداره
www.denaserver.com
September 27th, 2012, 19:23
با سلام
آره میشه symlink رو از کرنل patch کرد که patch مربوطه توسط Mr.Brad از GrSecurity ارایه شده که در حال حاضر بر روی cloudlinux می تونید ازش استفاده کنید.
یک راه حل دیگه استفاده از mod_ruid می باشد.
با تشکر
سلام
میشه در مورد استفاده کردن از mod_ruid بیشتر توضیح بدید
یعنی فقط در easy apache تیک Mod Ruid2 را بزنیم کافیه ؟
لینک آموزش دارید ؟
www.denaserver.com
September 27th, 2012, 19:58
مشکل symlink که باعث هک شدن و دسترسی کامل هکر به سرور میشه
مشکل شایعی هست که جدیدا تعداد زیادی از سرورها به این طریق هک شدند.
چند وقت پیش به این روش برای حل مشکل رسیدم متاسفانه منبع رو یادم رفته
روش کار ساده است
این فایل رو دانلود کنید:
www.gatefa.com/Apache.zip (http://www.gatefa.com/Apache.zip)
سپس دو فایل موجود در فایل زیپ رو در پوشه زیر آپلود کنید
( با دسترسی یوزر روت)
حالا اقدام به استفده از easyapche کنید
در قسمت Exhaustive Options
گزینه SymlinkProtection رو تیک بزنید و مجددا کامپایل کنید.
http://www.webhostingtalk.ir/attachments/f93/8461-%D8%AD%D9%84-%D9%85%D8%B4%DA%A9%D9%84-%D8%A7%D9%85%D9%86%DB%8C%D8%AA%DB%8C-symlink-%D8%AF%D8%B1-%D8%B3%DB%8C-%D9%BE%D9%86%D9%84-capture-png
امیداورم مفید باشه.
من این کار را انجام دادم
اما کلا دیگه Bild نمی کنه و اررور میده وسط bilid کردن
مشکل از کجا میتونه باشه ؟
ertebat7
September 27th, 2012, 20:36
یکی از دوستان لطفا روش پچ کردن کرنل را توضیح بده
متاسفانه با جستجو در سایت چیزی دستگیرم نشد
روشی هم که در پست اول بود اجرا کردم ولی در موقع build شدن خطا میده
j4b3r
September 29th, 2012, 22:10
من این کار را انجام دادم
اما کلا دیگه Bild نمی کنه و اررور میده وسط bilid کردن
مشکل از کجا میتونه باشه ؟
دو تا فایل داخل فایل زیپ هست اون دوتا ردر مسیر داده شده بزارید
فایل .tar.gz و باز نکنید
j4b3r
September 29th, 2012, 22:12
یکی از دوستان لطفا روش پچ کردن کرنل را توضیح بده
متاسفانه با جستجو در سایت چیزی دستگیرم نشد
روشی هم که در پست اول بود اجرا کردم ولی در موقع build شدن خطا میده
روش پچ کردن
به سایت Grsecurity
مراجعه کنید
بهتر هست کلود لینوکس نصب کنید
و از اون طریق پچ کنید
shivahost
September 29th, 2012, 22:28
سنتوس 6.3 هم دارهاین مشکل رو؟
HugeServer
September 29th, 2012, 22:37
سلام
یک سوال داشتم !
اگر فایروال Csf هم نصب داشته باشیم باز هم می تونن با باگ symlink هک کنن ؟
symlink باگ نیست بلکه بخشی از هسته لینوکس هست و وقتی سرور اشتراکی هست شما باید سطح دسترسی هارو محدود کنید.
یکی از دوستان لطفا روش پچ کردن کرنل را توضیح بده
متاسفانه با جستجو در سایت چیزی دستگیرم نشد
روشی هم که در پست اول بود اجرا کردم ولی در موقع build شدن خطا میده
Grsecurity/Configuring and Installing grsecurity - Wikibooks, open books for an open world (http://en.wikibooks.org/wiki/Grsecurity/Configuring_and_Installing_grsecurity)
انجام تنظیمات روی کرنل , compile کرنل و .. نیاز به تجربه داره و به هیچ عنوان توصیه نمیکنم روی سرور production تست و آزمون و خطا انجام بدید :-)
سنتوس 6.3 هم دارهاین مشکل رو؟
symlink نه یک حفره امنیتی هست نه ×مشکل× که نیاز به پچ داشته باشه , symlink بخشی از هسته لینوکس هست.
موفق باشید !
www.denaserver.com
September 30th, 2012, 01:15
دو تا فایل داخل فایل زیپ هست اون دوتا ردر مسیر داده شده بزارید
فایل .tar.gz و باز نکنید
سلام
دقیقا منم همین کار را انجام دادم
اما نمیشه و وسط کار اررور میده و Biuld نمیشه !
یکی دیگه از دوستان هم که تیکت زده هم همین کار را انجام داده اما به مشکل خورده ! دقیقا مثل من
Ashkankamangar.ir
September 30th, 2012, 02:17
علاوه بر این کاری که جابر عزیز فرمودند
میتونید در فایل
httpd.conf
موارد زیر را به این صورت تغییر بدید
<Directory "/usr/local/apache/htdocs">
Options IncludesNOEXEC -Indexes -FollowSymLinks +SymLinksIfOwnerMatch -ExecCGI
AllowOverride None
Order allow,deny
Allow from all
</Directory>
http://www.webhostingtalk.ir/f10/423/
این لینک هم به دردتون میخوره
safe mode رو روشن کنید
php.ini خصوصی رو ببندید حتی میتونید کاری کنید یوزر نتونه .htaccess دستی بسازه
یه دوست خارجی دارم که تاکید میکنه داخل
nano /etc/fstab
اینارو بذاریم
یکی از دوستان لطفا روش پچ کردن کرنل را توضیح بده
متاسفانه با جستجو در سایت چیزی دستگیرم نشد
روشی هم که در پست اول بود اجرا کردم ولی در موقع build شدن خطا میده
Grsecurity/Appendix/Grsecurity and PaX Configuration Options - Wikibooks, open books for an open world (http://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configuration_Options#Linking_r estrictions)
Grsecurity/Configuring and Installing grsecurity - Wikibooks, open books for an open world (http://en.wikibooks.org/wiki/Grsecurity/Configuring_and_Installing_grsecurity)
با تشکر
www.denaserver.com
October 1st, 2012, 02:50
علاوه بر این کاری که جابر عزیز فرمودند
میتونید در فایل
httpd.conf
موارد زیر را به این صورت تغییر بدید
http://www.webhostingtalk.ir/f10/423/
این لینک هم به دردتون میخوره
safe mode رو روشن کنید
php.ini خصوصی رو ببندید حتی میتونید کاری کنید یوزر نتونه .htaccess دستی بسازه
یه دوست خارجی دارم که تاکید میکنه داخل
nano /etc/fstab
اینارو بذاریم
البته دوستان صاحب نظر در مورد آخری نظر بدند
سلام
اگر این کاری که شما گفتید را انجام بدهم مشکل biuld حل میشه ؟؟
mahdi2009
February 17th, 2013, 13:21
سلام.
دوستانی که با فایل استارتر گرامی مشکل دارن در وژن اپاچی هست که در فایل سورس 2.2.22 هست باید دستی ویرایش بشه اسکریپت زیر هم برای وژن 2.2.23 اپاچی هست که میتونن دوستان با دستورات زیر نصب بکنن:
مشکل symlink که باعث هک شدن و دسترسی کامل هکر به سرور میشه
مشکل شایعی هست که جدیدا تعداد زیادی از سرورها به این طریق هک شدند.
چند وقت پیش به این روش برای حل مشکل رسیدم متاسفانه منبع رو یادم رفته
روش کار ساده است
این فایل رو دانلود کنید:
www.gatefa.com/Apache.zip (http://www.gatefa.com/Apache.zip)
سپس دو فایل موجود در فایل زیپ رو در پوشه زیر آپلود کنید
( با دسترسی یوزر روت)
حالا اقدام به استفده از easyapche کنید
در قسمت Exhaustive Options
گزینه SymlinkProtection رو تیک بزنید و مجددا کامپایل کنید.
امیداورم مفید باشه.
فایل موجود نیست اگر کسی داره بدش
ممنون
j4b3r
September 17th, 2016, 12:54
سلام
از کلود لینوکس استفاده کنید.
اون فایل ابتدایی دیگه کاربرد نداره.
در موقع کامپایل آپاچ در سی پنل گزینه symlink race condition رو انتخاب کنید
Ali_faraji
September 17th, 2016, 21:23
راهی هم دارید برای جلوگیری از بای پس شدن سرور؟
Ali_faraji
September 17th, 2016, 22:33
من از suphp استفاده می کنم
مد راید غیر فعال کردم مشکلی ب وجود نمیاد وقتی symlink race condition اینو فعال می کنم
+
تو ایزی اپاچی و tweek seting همچین گزینه ای ب اسم symlink race condition نبود
از کجا فعال کنم اگر با suphp سازگاری داره
2JZ
September 17th, 2016, 22:48
من از suphp استفاده می کنم
مد راید غیر فعال کردم مشکلی ب وجود نمیاد وقتی symlink race condition اینو فعال می کنم
+
تو ایزی اپاچی و tweek seting همچین گزینه ای ب اسم symlink race condition نبود
از کجا فعال کنم اگر با suphp سازگاری داره
در این مورد اطلاعات اینجا هست:
https://documentation.cpanel.net/display/EA/Symlink+Race+Condition+Protection
داخل خود EasyApache زمانی که آپشن های مربوط به کامپایل آپاچی رو تنظیم می کنید.