نمایش نتایج: از شماره 11 تا 17 , از مجموع 17

موضوع: جلوگیری از کارکرد شل c99

Threaded View

پست قبلی پست قبلی   پست بعدی پست بعدی
  1. October 28th, 2011, 19:19 #1
    Esi
    Esi آنلاین نیست.
    عضو جدید Esi آواتار ها
    تاریخ عضویت
    Apr 2009
    نوشته ها
    93
    تشکر تشکر کرده 
    73
    تشکر تشکر شده 
    107
    تشکر شده در
    84 پست

    پیش فرض جلوگیری از کارکرد شل c99

    سلام .

    مشخصات سرور :
    Centos64
    Apache 2+
    WHM/Cp

    دوستان چند روزه بدجوری با شل C99 دچار مشکل شدیم ، یعنی هر کاری میکنم نمیتونم جلو کارکردش رو بگیرم ، در این سایت قبلا مقالاتی منتشر شده ولی باید بگم متاسفانه هیچکدوم ! کاربردی ندارند . این تاپیک رو زدم تا یه فکر اساسی برای مقابله با شل ها بکنیم .
    برای مثال من Calm رو نصب کردم ، و توابع زیر رو هم غیرفعال کردم :
    myshellexec escapeshel lcmd symlink ini_restore ini_set PHP_SELF phpinfo safe_mode ctrl_dir tmp show_source system passthru http_host diskfreespace phpini systemroot get_current_user HTTP_HOST php_uname popen pclose exec shell_exec suExec passthru pclose proc_open proc_nice proc_terminate proc_get_status proc_close pfsockopen leak apache_child_terminate posix_kill posix_mkfifo posix_setpgid posix_setsid posix_setuid escapeshellcmd escapeshellarg ls mv base64_encodem base64_decode
    اما باز هم نسخه کد شده ی شل به خوبی کار میکنه یعنی قادره فایل های اکانت رو حذف و ویرایش کنه . نکته جالب اینه که تنها تابع موثر تابع base64_decode هست که با غیر فعال کردن اون عملا شل ها از کار می افتن ولی مشکل بزرگتر اینه که همراه با شل ها هر سایتی که قسمتی از سورسش رو روی بیس 64 کد کرده هم از کار می افته .پس بستن اون مقدور نیست ، یه راه کاری بدید که بشه مقاومت کرد .
    من روی سرورهای دوستان دیدم که بعضی مواقع شل بالا میاد ولی عملا کارایی نداره یعنی قادر به حذف یا ویرایش فایل ها نیست !

    __________
    در mod security هم فرمان های زیر رو اضافه کردم ولی اثری نداشت :
    SecRule RESPONSE_BODY "r57shell - http-shell by RST/GHC"
    SecRule RESPONSE_BODY "/* (c)oded by 1dt.w0lf"
    SecRule RESPONSE_BODY "/* RST/GHC http"
    SecRule RESPONSE_BODY "x2300 Locus7Shell"
    SecRule RESPONSE_BODY "UNITED ALBANIANS aka ALBOSS PARADISE"
    SecRule RESPONSE_BODY "C99 Modified"
    SecRule RESPONSE_BODY "c999shell v."
    SecRule RESPONSE_BODY "RootShell Security Group"
    SecRule RESPONSE_BODY "Modded by Shadow & Preddy"
    SecRule RESPONSE_BODY "Owned by hacker"

    فکر میکنم این مشکل برای خیلی از دوستان هم باشه ، لطفا یه بررسی بکنید تا ب یک نتیجه برسیم و وضعیت امنیت سرورها رو بهبود ببخشیم .

    پانوشت : خواهشا از این موارد کودکانه که بستن فانکشن و .... باعث از کارافتادن شل میشه خودداری کنید ، دوستانی که همچین نظری دارن خودشون یه بار نسخه شلی که من ضمیمه کردم رو روی سرورشون بریزن تا ببینن چقدر حرفشون بی منطقه .


    با تشکر

    th3.zip
    ویرایش توسط Esi : October 28th, 2011 در ساعت 19:21
    پاسخ با نقل قول پاسخ با نقل قول
« موضوع قبلی | موضوع بعدی »

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •  

مشاهده قوانین انجمن