مشکل امنیتی وحشتناک دایرکت ادمین( دسترسی به روت توسط شل)

[sajjadsec]

تشکر از دوستان
رو سرور suphp / suhoin / comodo waf / cfs/ cxs / نصب هست و تا حدودی هم کانفینگ شده
فاکشن های که توسط خودcfs پیشنهاد شده هم در php.ini بسته شده.
ولی به طور اتفاقی c99 اپلود کردم شناسایی نکرد و وقتی داخل پنل شل بر روی " / " کلیک کردم رفت تو روت!!!
و در هاستینگ شرکت دیگری هم تست کردم همین اتفاق افتاد.
تست کنید دوستان:http://www.r57.gen.tr/1480158910-c99.html
حدا الامکان بدون انتی شلرو و مدسکیوریتی تست کنید.

صرفا نصب بودن کافی نیست و صرفا ممکن است کانفیگ ها اصولی نباشند.
باید به صورت کامل و تخصصی مورد بررسی قرار گیرد.
در صورت تمایل برای بررسی سرور پ.خ دهید.

[alivw71]

روی 5 شرکت هاستینک معمولی تست شد که 2 تای ان ها صفحه سفید واجرانشد و 3 تای ان دسترسی یه روت مثل تصویر پست اول داده شده . (نام برده نمیشود بدلیل سوء استفاده)
منظور بنده این است که چرا باید این شل بهسروردسترسیبده!!!؟
شما فرض کنید پنل خام دایرکت ادمین هم نصب کردید بدون کانفینگ ایا طبیعی است که شل دسترسی به روت بده؟ ان هم فقط با یدونه کلیک نباید همچین باشه.

- - - Updated - - -

شل هایی که اجرا نشدن توسط مدسکیوریتی امن شده بودن.

[sajjadsec]

با سلام و احترام
در صورت نیاز به بررسی تخصصی و کامل سرور و شل اسکریپت شما در ارتباط باشید (تلگرام).
این مورد باید بررسی شود تا مشخص گردد.
09214693857

[alivw71]

با سلام و احترام
در صورت نیاز به بررسی تخصصی و کامل سرور و شل اسکریپت شما در ارتباط باشید (تلگرام).
این مورد باید بررسی شود تا مشخص گردد.
09214693857

درود فراوان
الان من کرنل لینوکس و نرم افزارهای سرور رو اپدیت کردم و جلوی اجرای شل روگرفت و انتی شلر هم ران کنم کاملا قبل اجرا شدن پاک میکنه.
مشکل اصلی اینه که ایا شل باید چنین امکانی داشته باشد که به سرور روت شود.
یعنی سرورهایی که مدسکیوریتی نسب نیستن کارشان تمام است. کافی هست شل اجراشود و سرور هک.

- - - Updated - - -

ان هایی که سرور دارند حتما تست کنند .

[k-pax]

ببخشید دایرکتادمین اورجنال استفاده کردید !؟
شاید کرکشده بوده !

من الان روی دوتا سرورتست کردم هیچ مشکلی نداشت !

حتی انتیشلر هم نبود و شل اجرا شد ! اما فقط دسترسی د همون محدوده یوزرش!

[alivw71]

ببخشید دایرکتادمین اورجنال استفاده کردید !؟
شاید کرکشده بوده !

من الان روی دوتا سرورتست کردم هیچ مشکلی نداشت !

حتی انتیشلر هم نبود و شل اجرا شد ! اما فقط دسترسی د همون محدوده یوزرش!

با سلام
بله دایرکت ادمین لایسنس دار هست.
شل c99 را اجرا کنید و برروی "/" اول دایرکتوری home کلیک کنید تا نتیجه راببینید. و تصویررا قرار دهید.
یا تصویر صفحه نخست شل را قراردهید تا راهنمایی کنم.

- - - Updated - - -

عرض ادب

من خودم رابطه ی خوبی با دایرکت ادمین ندارم
اما فکر نکنم این مشکل از خود سیستم باشه
احتمالا مشکل از کانفیگتونه

نه کانفینگ مشکل نداشت قطعا ، چون تمام کارهای لازم را انجام داده بودم و هر چند وقت یک بار انتی شلر را غیر فعال میکنم و با شل های php سرور را تست میکنم که الان متوجه این مشکل شدم.
یعنی با یک شل به راحتی روت سرور هک میشه اونم با یک کلیک!

[alivw71]

دوستان چیزی که متوجه شدم این باگ کرنل لینوکس هست که باید سرور خودرا به اخرین نسخه اپدیت کنید. این باگ اجازه میده که یوزرعادی به راحتی به روت دسترسی پیدا کنه. البته مطمعا نیستم که مشکل ازاین هست!!!
برای تست امنیت کرنل مراحل زیررو انجام بدید.

کد PHP:

wget https://access.redhat.com/sites/default/files/rh-cve-2016-5195_5.sh 


کد PHP:

chmod +x rh-cve-2016-5195_5.sh 


کد PHP:

./rh-cve-2016-5195_5.sh 


اطلاعات کامل این باک در لینکهای زیر:
https://access.redhat.com/security/vulnerabilities/DirtyCow

http://blog.securehost.ir/0day-linux-dirty-cow/

اگرخروجی دستورات بالا این بود کرنل ناامن هست : Your kernel is 2.6.32-642.3.1.el6.x86_64 which IS vulnerable

[Rezash]

دوستان چیزی که متوجه شدم این باگ کرنل لینوکس هست که باید سرور خودرا به اخرین نسخه اپدیت کنید. این باگ اجازه میده که یوزرعادی به راحتی به روت دسترسی پیدا کنه. البته مطمعا نیستم که مشکل ازاین هست!!!
برای تست امنیت کرنل مراحل زیررو انجام بدید.

کد PHP:

wget https://access.redhat.com/sites/default/files/rh-cve-2016-5195_5.sh 


کد PHP:

chmod +x rh-cve-2016-5195_5.sh 


کد PHP:

./rh-cve-2016-5195_5.sh 


اطلاعات کامل این باک در لینکهای زیر:
https://access.redhat.com/security/vulnerabilities/DirtyCow

http://blog.securehost.ir/0day-linux-dirty-cow/

اگرخروجی دستورات بالا این بود کرنل ناامن هست : Your kernel is 2.6.32-642.3.1.el6.x86_64 which IS vulnerable

باگ dirty cow چندی پیش توسط دوستان در انجمن معرفی شده بود :
http://www.webhostingtalk.ir/showthread.php?t=175806

[alivw71]

یعنی مشکل دسترسی به روت توسط شل این باگ بوده؟

[yourhosting]

مشکل شما از سرور نیست بلکه همانطور که دوستان گفتن از کانفیگ هست
شما دسترسی و permissions یوزرها به / , /home بسته و فقط به /home/username محدود کنید مشکل در 90% موارد حل میشود(منظور از /home/username دارکتری مربوط به یوزر هست که چون از دایرکت ادمین استفاده نمیکنم دقیقا خاطرم نیست)
با نصب cloudlinux هم میتوانید تاحدودی جلوی این موارد را بگیرید