جلوگیری از اجرای شل

درود
اقدامات زیر تا حد زیادی جلوی اجرای اسکریپت های مخرب Shell را میگیرد
مرحله اول کانفیگ PHP.ini
بعضی از فانکشن ها بر روی سرور باید Disable شوند, این کار جلوی شل هایی که از این فانکشن ها استفاده میکنند را میگیرد
برای این کار دستور زیر را در SSH وارد کنید
nano /usr/local/lib/php.ini
سپس کلید های ترکیبی CTRL+W را فشار دهید(مثل همان CTRL+F یا find در Notepad) و عبارت مقابل را در صفحه جستجو کنید disable_functions

کد:

---

disable_functions = ""

---

در میان دو کوتیشن عبارت های زیر را وارد کنید

کد:

---

fpassthru,show_source,crack_check,crack_closedict,crack_getlastmessage,crack_opendict,psockopen,proc_open,proc_nice,proc_terminate,proc_get_status,proc_close,system,dl,ctrl_dir,tmp,systemroot,server_software,get_current_user,HTTP_HOST,php_uname,ini_restore,popen,pclose,exec,shell_exec,suExec,passthru,apache_child_terminate,pfsockopen,leak,posix_kill,posix_mkfifo,posix_setpgid,posix_setsid,posix_setuid,escapeshellcmd,escapeshellarg,posix_ctermid,posix_getcwd,posix_getegid,posix_geteuid,posix_getgid,posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid,posix_getppid,posix_getpwnam,posix_getpwuid,posix_getrlimit,posix_getsid,posix_getuid,posix_isatty,posix_kill,posix_mkfifo,posix_setegid,posix_seteuid,posix_setgid,posix_setpgid,posix_setsid,posix_setuid,posix_times,posix_ttyname,posix_uname,posix_access,posix_get_last_error,posix_getppid,posix_mknod,posix_strerror,posix_access,posix_ctermid,posix_get_last_error,posix_getcwd,posix_getegid,posix_geteuid,posix_getgid,posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,php_ini_scanned_files,posix_getpgrp,posix_getpid,posix_getppid,posix_getpwnam,posix_getpwuid,posix_getrlimit,posix_getsid,posix_getuid,posix_initgroups,posix_isatty,posix_kill,posix_mkfifo,posix_mknod,posix_setegid,posix_seteuid,posix_setgid,posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,posix_ttyname,posix_uname,symlink,allow_url_fopen

---

دقت کنید تا فانکشن ها دقیقا مثل تصویر زیر وارد شوند
فایل پیوست 2464
ممکن است این فانکشن ها در برخی از CMS ها مشکلاتی ایجاد کند ! در صورت بروز هر گونه ممکن میتوانید فانکشن مورد نظر را از این لیست حذف کنید
طبق توصیه CSF بستن فانکشن های زیر نیز کفایت میکند

کد:

---

show_source,system,shell_exec,passthru,exec,phpinfo,popen,proc_open,allow_url_fopen

---

بعد از کپی کردن فانکشن ها کلید های ترکیبی CTRL+X را فشار دهید و فایل را ذخیره کنید

فانکشن ها در PHP.ini اصلی سرور غیر فعال شدند ولی به صورت پیشفرض هر کاربر میتواند برای خود فایل php.ini بسازد و بدون اینکه هیچ یک از این فانکشن ها برایش غیر فعال باشد از شل خود استفاده کند
پس ما باید کاری کنیم که تنها PHP.ini که در سرور استفاده میشود همینی باشد که ما کانفیگش کردیم

خصوصی کردن PHP.ini

کد:

---

nano /usr/local/apache/conf/includes/pre_main_global.conf

---

فایل بالا را ویرایش کرده و دستور های زیر را در آن کپی کنید

کد:

---

<IfModule mod_suphp.c>
<Location />
suPHP_ConfigPath /usr/local/lib/
</Location>
</IfModule>

---

کد:

---

nano /opt/suphp/etc/suphp.conf

---

فایل بالا را ویرایش کنید و ; های اول خطوط زیر را بردارید

کد:

---

application/x-httpd-php=/usr/local/lib/
application/x-httpd-php4=/usr/local/php4/lib/
application/x-httpd-php5=/usr/local/lib/

---

در نهایت هم آپاچی را با دستور زیر ری استارت کنید
service httpd restart

مرحله بعدی نصب آنتی ویروس ClamAV هست
دستور ها

کد:

---

cd /etc/yum.repos.d
wget http://www.linuxmail.info/files/dag-clamav.repo
yum clean all
yum -y install clamav clamav-devel clamd
/etc/init.d/clamd restart
/scripts/upcp --force

---

دستور /scripts/upcp --force فقط مربوط به کاربرانی هست که از Cpanel استفاده میکنند
برای اسکن فایل ها توسط ClamAV میتوانید از دستور های زیر استفاده کنید

کد:

---

cd /home
clamscan -vr

---

مرحله بعدی روشن کردن SafeMode هست
از دیدگاه خیلی از افراد SafeMode در هاستینگ عمومی مشکلاتی ایجاد میکنه
من منکر این حرف نیستم ! ولی معمولا از هر 50 سایتی که میزبانی میکنی یکی دو مورد مشکل دارن که قطعا! قطعا! امنیت ارزش بیشتر از یکی دوتا کاربر هست
برای روشن کردن SafeMode فایل زیر را ویرایش کنید , عبارت safe_mode را در صفحه پیدا کنید و مقدار آن را به On تغییر دهید
nano /usr/local/lib/php.ini

مرحله بعدی غیر فعال کردن PHP4 هست
یکی از دوستان سرورش رو جهت تست در اختیار بنده قرار داد با php5 هیچکار نتوانستم انجام دهم ولی در PHP4 براحتی توانستم method های امنیتی را bypass کنم
جدیدا php4 اصلا استفاده نمیشه و فقط هاستینگ های قدیمی برای سایت های قدیمیشون از این نسخه در کنار php5 استفاده میکنند

مرحله آخر هم خرید لایسنس و استفاده از LiteSpeed Load Balancer هست
بطور مثال شل اجرا میشه ولی هر کاری میخواد بکنه ارور 403 و.. میگیره
البته LiteSpeed Load Balancer در کارایی سرور هم نقش بسزایی داره و استفاده اصلیش برای اون هست

سوالی دارید در خدمتم

سلام
آیا ClamAV مرتب فایل ها رو چک میکنه یا ما باید بهش بگیم؟ اگه فایل ها رو چک نمیکنه راهی داره که باز زمانی بهش بدید برای چک کردن؟

نقل قول:

---

نوشته اصلی توسط Mehrvarzan

سلام
آیا ClamAV مرتب فایل ها رو چک میکنه یا ما باید بهش بگیم؟ اگه فایل ها رو چک نمیکنه راهی داره که باز زمانی بهش بدید برای چک کردن؟

---

شما با استفاده از cronjob می تونید این کار رو زمان بندی کنید ... تو cPanelهم هست

دوست عزیز info_dlsong ممنون ولی اگه کسی با شلر های perl اقدام به نفوظ کنه هیچ کدوم از این تنظیمات کار ساز نیست ...

یه سوال
یعنی سی پنل نمیتونه کاری کنه که یوزر ها نتونند چنین کاری کنند؟

---------- Post added at 05:02 PM ---------- Previous post was at 04:58 PM ----------

فرضا اگه من بزارم روی یک ساعت.
خوب ممکنه طرف آپلود کنه سریع ران کنه و اطلاعات روت رو بگیره
چه فایده داره اونوقت کرن جاب

ممنون از دوست عزیز info_dlsong

اما شل هایی که به صورت کدشده و مثلا md5 هستند بازهم هم clamav رو رد می کنند و هم خیلی از این فانکشن ها رو به راحتی اجرا می کنند . حتی من یک شل دیدم که کاراکترها رو برعکس زده بود و بازهم میشد ازش استفاده کرد !

مثلا disable_functions رو برعکس snoitcnuf_elbasid زده بود و باز کار می کرد !
یا edoced_46esab به جای base64_decode

در ضمن clamav که به صورت realtime کار نمیکنه که تمام فایل های درحال آپلود به سرور فوراً اسکن و پاک بشن . فقط سر زمانهای cronjob اسکن می کند . اسکن csx از فایروال csf هست به صورت realtime اما مجانی نیست . :(

با دریافت هزینه اینکارو براتون انجام میدم . تماس بگیرید 09130606001

شما میتونید سورس اسکریپت های مخرب رو به ClamAV بدید و دیتابیسش رو بهینه کنید

یه پلاگین شل اسکنر هست که قیمت 125 -100 هست اون را که نصب کنید اگر شل بخواد اجرا بشه سایت بسته می شه

نقل قول:

---

نوشته اصلی توسط nimapendar

یه پلاگین شل اسکنر هست که قیمت 125 -100 هست اون را که نصب کنید اگر شل بخواد اجرا بشه سایت بسته می شه

---

آدرسی چیزی؟

سلام دوستان
تمامي سرورهاي شما رو به صورت تضميني سكيور ميكنيم

در مورد اجرا نشدن شل هم من اين كارو تضميني انجام ميدم
هم روي شل هاي كد شده، هم كد نشده!!!