آموزش جلوگیری از اجرای eXploit روی سرور

[Gertel]

سلام


دوستان آیا راه صد درصدی وجود داره جلوی اجرا شدن شلی که هکر روی سرور آپلود میکنه رو گرفت؟


مطمئنا یک راه برای کانفیگ مطمئن وجود داره من اون راه رو بلد نیستم اگر آشنایی دارین ممنون میشم اشتراک بزارین.


یکی از راه ها بستن فانکشن های php تو فایروال لینوکس هست. اسکنر هایی هم هستن که شل رو پیدا میکنن و یا حذف میکنن اما به هر صورت این اسکنرها زمانی شل رو پیدا میکنن که شل روی سرور وجود داره یعنی هکر شل رو ریخته روی سرور و ممکنه اجرا گرفته باشه و سورس روی سرور رو هم زده باشه.
منظورم cxs هست که هم روی سی پنل هم دایرکت ادمین با 60 دلار میشه نصب کرد.


یک راه هم htaccess هست که هدر فایل رو اینجا بررسی میکنیم اما مشکل اینجاست بعضی از هکرها اون فایل رو تغییر نام میدن و کارشون رو انجام میدن.


بعضی از فانکشن ها رو بخوایم مثل بیس 64 ببندیم چون تو خود اسکریپت روی سرور ممکنه استفاده بشه از همین مشکل ایجاد میکنه.


علاوه بر این الان اینقدر روش های مختلف روی توزیع های مختلف لینوکس وجود داره ، منتهی روشی مطمئن باید وجود داشته باشه که همون ابتدا جلوی اجرا شدن شل رو بگیره روی سرور که هکر به هر دری بزنه نتونه حداقل ***ی کنه .


این بلا بارها سر من اومده اسکریپت های مختلفی ***یده شده روی سرور همه هم ددکیت یا وی پی اس بودن نه اشتراکی.


ممنون میشم واقعا کمک کنین حداقل تو این تاپیک به یه راه حل مناسب برسیم

[jahromweb]

سلام
اگر بحث هک اسکریپت باشه که باید خدمتتون عرض کنم اگر اسکریپت شما امکان اپلود و اجرای فایل php داشته باشه شما با هر ابزاری از cxs تا بستن فانکشن ها و suhosin هم جلوی اجرای شل بگیرید بازم کار بزرگی نکردید چون اگر هکر برنامه نویس باشه (اگر نباشه اسمش هکر نیست چیز دیگس) با کمی php باز هم به سایت نفوذ میکنه چون نیاز انچنانی به استفاده از توابع مربوط به اجرای دستور که در شل ها دیده میشه نداره و کار راحت تر هست (کافی هست بتونه فایل لیست کنه و بخونه و درصورت نیاز تغییر بده)
در این نوع هک مهم ترین نکته امنیت اسکریپت شماست اگر امن نباشد روی امن ترین سرور جهان هم قرار بدهید باز هم احتمال هک وجود دارد

شاید حرف های بنده صحیح نباشد . درصورت نیاز لطفا همکاران و دوستان محترم (که استاد بنده هستند) تصحیح کنند.

موفق و پیروز باشید

[Gertel]

سلام
اگر بحث هک اسکریپت باشه که باید خدمتتون عرض کنم اگر اسکریپت شما امکان اپلود و اجرای فایل php داشته باشه شما با هر ابزاری از cxs تا بستن فانکشن ها و suhosin هم جلوی اجرای شل بگیرید بازم کار بزرگی نکردید چون اگر هکر برنامه نویس باشه (اگر نباشه اسمش هکر نیست چیز دیگس) با کمی php باز هم به سایت نفوذ میکنه چون نیاز انچنانی به استفاده از توابع مربوط به اجرای دستور که در شل ها دیده میشه نداره و کار راحت تر هست (کافی هست بتونه فایل لیست کنه و بخونه و درصورت نیاز تغییر بده)
در این نوع هک مهم ترین نکته امنیت اسکریپت شماست اگر امن نباشد روی امن ترین سرور جهان هم قرار بدهید باز هم احتمال هک وجود دارد

شاید حرف های بنده صحیح نباشد . درصورت نیاز لطفا همکاران و دوستان محترم (که استاد بنده هستند) تصحیح کنند.

موفق و پیروز باشید

سوال من در مورد امنیت اسکریپت نبود و پاسخ شما هم کلی بود.


در واقع این بدیهی هست زمانی اسکریپت امنیت پائین داشته باشه بهش میشه نفوذ کرد حالا نه شل sqli xss و ...


تاپیک من هم اصلا در مورد امنیت اسکریپت نیست بلکه دقیقا در مورد جلوگیری از اجرایی شدن هست که دقیقا به سرور مربوط میشه.


اسکریپت کاری که میتونه بکنه خوندن هدر فایل هست و محدود کردن فایل و ... اما اجرایی شدن کار سروری هست که کد روش هست.


برای اینکه تاپیک منحرف نشه لطفا چنانچه تجربه واقعی در این زمینه دارین ، اشتراک بزارین چیزی که میدونین. مطمئنا این مشکل خیلی ها هست.

[hamid53214]

سوال من در مورد امنیت اسکریپت نبود و پاسخ شما هم کلی بود.


در واقع این بدیهی هست زمانی اسکریپت امنیت پائین داشته باشه بهش میشه نفوذ کرد حالا نه شل sqli xss و ...


تاپیک من هم اصلا در مورد امنیت اسکریپت نیست بلکه دقیقا در مورد جلوگیری از اجرایی شدن هست که دقیقا به سرور مربوط میشه.


اسکریپت کاری که میتونه بکنه خوندن هدر فایل هست و محدود کردن فایل و ... اما اجرایی شدن کار سروری هست که کد روش هست.


برای اینکه تاپیک منحرف نشه لطفا چنانچه تجربه واقعی در این زمینه دارین ، اشتراک بزارین چیزی که میدونین. مطمئنا این مشکل خیلی ها هست.

اگر اسکریپت شما شامل آپلود فایل هست اول فایل به tmp میره که معمولا ایمن سازی میشه
بعدشم به جایی دیگه منتقل میشه که اگه اونجا هم محدودیت اجرای اسکریپت داشته باشه و تغییر نام فایل ها رو انجام بدید دیگه دسترسی به شل آپلود شده غیر ممکن میشه

[Gertel]

اگر اسکریپت شما شامل آپلود فایل هست اول فایل به tmp میره که معمولا ایمن سازی میشه
بعدشم به جایی دیگه منتقل میشه که اگه اونجا هم محدودیت اجرای اسکریپت داشته باشه و تغییر نام فایل ها رو انجام بدید دیگه دسترسی به شل آپلود شده غیر ممکن میشه

ممکنه بیشتر توضیح بدین؟


اسکریپت نیاز داره پرمیشن 777 داشته باشه. تو خود فولدر آپلود با اچ تی اکسز محدود شده رو هدر فایل ، اما شل باز اجرا میشه. فرضا فرمت رو حتی به صورت گیف آپلود کردم دیدم میشه ران کرد.


من دنبال یه راه مطمئن هستم. نمیدونم اگر مسیر آپلود فایل رو ببریم یه فولدر قبل از public_html حل میشه یا نمیشه.


شما راه حلی دارین ممنون میشم بیشتر توضیح بدین چون متوجه منظورتون نشدم.

[hamid53214]

ممکنه بیشتر توضیح بدین؟


اسکریپت نیاز داره پرمیشن 777 داشته باشه. تو خود فولدر آپلود با اچ تی اکسز محدود شده رو هدر فایل ، اما شل باز اجرا میشه. فرضا فرمت رو حتی به صورت گیف آپلود کردم دیدم میشه ران کرد.


من دنبال یه راه مطمئن هستم. نمیدونم اگر مسیر آپلود فایل رو ببریم یه فولدر قبل از public_html حل میشه یا نمیشه.


شما راه حلی دارین ممنون میشم بیشتر توضیح بدین چون متوجه منظورتون نشدم.

باید روی فولدر php.ini کاستوم قرار داده بشه
اگرم از cgi,python ,perl استفاده نمیکنید روی سرور غیر فعال بشن

[Gertel]

باید روی فولدر php.ini کاستوم قرار داده بشه
اگرم از cgi,python ,perl استفاده نمیکنید روی سرور غیر فعال بشن

منظور شما رو متوجه نمیشم


اما چون نود جی اس استفاده میکنم روی اسکریپت پایتون باید فعال باشه.


منظور شما از کستوم کردن php.ini چی هست؟


ممکنه بیشتر توضیح بدین؟

[seotools]

سلام
php.ini خوب هست خودتون هم تاپیک اول نوشتین اما بهترین روش این هست که شما اگر هزینه بیشتر میتونین پرداخت کنین سرور مجزا برای فایل تهیه کنین
یا اینکه اسکریپت خودتون تو سورس که نوشتین اصل فایل روی سرور قرار نگیره بلکه میرور بگیرین از همون فایل مثلا با کتابخانه GD برای عکس میشه این کار رو انجام داد
روش های دیگه ای هم وجود داره اما روشی که خودم یا همکارام استفاده میکنیم اینطوری هست تا حالا مشکلی ندیدیم تو کدهای جدیدمون