nginxweb
November 16th, 2013, 15:23
درود بر شما
با یک آموزش حرفه ای و مفید جدید در خدمتتون هستیم
یکی از دغدغه هایی که مدیران سرور درگیرش هستند مشکل symlink هستش که همه جوره در سیستم های لینوکس مشکل ساز خواهد بود و باعث به خظر اقتادن امنیت در صورت secure نبودن سرور خواهد شد گاهی پیدا کردن اینکه از کدام اکانت این symlink اجرا و صورت گرفته است کاری دشوار است
در این آموزش اختصاصی nginxweb به شما می آموزیم که چطور با یک دستور بتوانید حملات symlink که از طریق command از سمت user ها در پوشه /home اجرا شده اند را پیدا نمایید که فوق العاده مفید برای امنیت سرور میباشد.
خدمتتون عرض شود برای اینکار ابتدا به ssh وصل شوید و دستور زیر را وارد نمایید:
find /home*/*/public_html -type l -exec ls -l {} \; | grep "\-> /$"
سپس صبر بفرمایید تا اسکن کامل انجام شود بستگی به حجم فایل ها و اکانت ها و قدرت پردازنده این زمان بطول خواهند انجامید
اگر scan به پایان رسید و شما با هیچ نتیجه یا اصطلاحا result روبرو نشدید خوب میتوانید یک نفس راحت بکشید...
اما اگر با ایک نتیجه مشابه زیر رو برو شدید:
مثلا یوزری بنام nginxweb:
lrwxrwxrwx 1 nginxweb nginxweb 1 date time /home/nginxweb/public_html/folder -> /
در اینصورت مشخص میشود که در اکانت nginxweb و folder مشخص اقدام به symlink به root انجام شده است.
خوب حالا چه کارهای انجام دهیم برای کنترل این مسئله.... عرض میکنیم خدمتتون
اولین کار این هستش که پسورد اکانت فوق یعنی nginxweb را تغییر دهید چون احتمالا پسورد توسط کسی از طریق حملاتی مانند brute force و یا مهندسی اجتماعی لو رفته است
و همینطور بوسیله symlink انجام شده پسورد ها لو رفته است در این موارد پیشنهاد میشه اگر فایل مانند فایل های config اسکریپت های مختلف مانند وردپرس که به نام wp-config.php و یا جولا که بنام config.php . یا configuration.php میباشد را باز کنید و پسورد ها را تعییر دهید که اگر لود رفته باشد بتوانید براحتی جلوگیری نمایید
در اخر نیز فولدر فوق را با دستور زیر حذف نمایید:
rm /home/nginxweb/public_html/folder
امیدوارم این آموزش خدمتتون مفید واقع شده باشد
تهیه و تنظیم مهندس عیسی محمدزاده
nginxweb.ir
(با کلیک بر روی دکمه تشکر ما را برای ادامه موارد آموزشی پیشرفته تر دلگرم کنید)
با یک آموزش حرفه ای و مفید جدید در خدمتتون هستیم
یکی از دغدغه هایی که مدیران سرور درگیرش هستند مشکل symlink هستش که همه جوره در سیستم های لینوکس مشکل ساز خواهد بود و باعث به خظر اقتادن امنیت در صورت secure نبودن سرور خواهد شد گاهی پیدا کردن اینکه از کدام اکانت این symlink اجرا و صورت گرفته است کاری دشوار است
در این آموزش اختصاصی nginxweb به شما می آموزیم که چطور با یک دستور بتوانید حملات symlink که از طریق command از سمت user ها در پوشه /home اجرا شده اند را پیدا نمایید که فوق العاده مفید برای امنیت سرور میباشد.
خدمتتون عرض شود برای اینکار ابتدا به ssh وصل شوید و دستور زیر را وارد نمایید:
find /home*/*/public_html -type l -exec ls -l {} \; | grep "\-> /$"
سپس صبر بفرمایید تا اسکن کامل انجام شود بستگی به حجم فایل ها و اکانت ها و قدرت پردازنده این زمان بطول خواهند انجامید
اگر scan به پایان رسید و شما با هیچ نتیجه یا اصطلاحا result روبرو نشدید خوب میتوانید یک نفس راحت بکشید...
اما اگر با ایک نتیجه مشابه زیر رو برو شدید:
مثلا یوزری بنام nginxweb:
lrwxrwxrwx 1 nginxweb nginxweb 1 date time /home/nginxweb/public_html/folder -> /
در اینصورت مشخص میشود که در اکانت nginxweb و folder مشخص اقدام به symlink به root انجام شده است.
خوب حالا چه کارهای انجام دهیم برای کنترل این مسئله.... عرض میکنیم خدمتتون
اولین کار این هستش که پسورد اکانت فوق یعنی nginxweb را تغییر دهید چون احتمالا پسورد توسط کسی از طریق حملاتی مانند brute force و یا مهندسی اجتماعی لو رفته است
و همینطور بوسیله symlink انجام شده پسورد ها لو رفته است در این موارد پیشنهاد میشه اگر فایل مانند فایل های config اسکریپت های مختلف مانند وردپرس که به نام wp-config.php و یا جولا که بنام config.php . یا configuration.php میباشد را باز کنید و پسورد ها را تعییر دهید که اگر لود رفته باشد بتوانید براحتی جلوگیری نمایید
در اخر نیز فولدر فوق را با دستور زیر حذف نمایید:
rm /home/nginxweb/public_html/folder
امیدوارم این آموزش خدمتتون مفید واقع شده باشد
تهیه و تنظیم مهندس عیسی محمدزاده
nginxweb.ir
(با کلیک بر روی دکمه تشکر ما را برای ادامه موارد آموزشی پیشرفته تر دلگرم کنید)