Во всех версиях PHP, включая 5.1.4 и 4.4.3 обнаружена (http://secunia.com/advisories/21403/) уязвимость, позволяющая злоумышленнику используя некорректное значение аргумента функции sscanf() выполнить свой код вне
ограничений накладываемых Safe Mode.
Патч для устранения проблемы можно загрузить здесь (http://tony2001.phpclub.net/dev/tmp/bug38322.diff).URL: http://secunia.com/advisories/21403/
Новость: http://www.opennet.ru/opennews/art.shtml?num=8046
експлоит просто вываливает PHP (5.1.2-pl0-gentoo cli) sigfault'ом
А большинство PHP експлойтов sigfault'ом и заканчивается.Процентов 90%.
Зато оставшиеся 10%... при наличии дыры ну просто очень много прав могут дать атакуюшему.
"Зато оставшиеся 10%... при наличии дыры ну просто очень много прав могут дать атакуюшему."права пользователя nobody - вот и весь максимум
>"Зато оставшиеся 10%... при наличии дыры ну просто очень много прав могут
>дать атакуюшему."
>
>права пользователя nobody - вот и весь максимум
для рассылки спама и занесения в блэклисты хватит.
Этим и занимается сегодняшнее пионерье.
Или как плацдарм для дальнейших поторошений - не обижайтесь, когда к вам прийдет отдел К.
Да-да. Помню, как "nobody" крушил PHPbb :) Из-под root'а :)Я хохотал, как безумный!
ТОЛЬКО БЛОКИРОВКА ГУГЛОМ ВЫДАЧИ остановила разрушение 20-40 тысяч(!) серверов в сутки :)
А иначе СКРИПТ, а НЕ(!) ВИРЬ снес бы нах процентов 10% Интернета :)
Ходоков тоже помню. Умные такие. "Помогите" говорят "найти вандала!" :)
"Мы точно знаем, что это вандал. Конкуренты заказали. Вы нам на него укажите, пожалуйста" :)
пионерье поднимает веб и прочие сервера не в jail ...
>пионерье поднимает веб и прочие сервера не в jail ...
и чем тебе jail спасет от рассылки спама? или мужиков с автоматами?
> и чем тебе jail спасет от рассылки спама? или мужиков с автоматами?pf.conf:
rdr on $ext_if proto tcp from any to $ext_addr port 80 -> 127.0.0.2
ifconfig:
lo0: ...
inet 127.0.0.2 netmask 0xffffffffапач:
jail /usr/local/jails/myweb www.myhost.com 127.0.0.2 "/usr/local/etc/rc.d/apache.sh start"Ну и для автоматизации ifconfig и запуска читаем ман в месте, где говорится про rc(8)
Теперь пожалуйста, не будете ли любезны описание того, как вы начинаете спамить из этого джейла от имени пусть даже рута? Будет очень познавательно.
>> и чем тебе jail спасет от рассылки спама? или мужиков с автоматами?
>
>pf.conf:
>
>rdr on $ext_if proto tcp from any to $ext_addr port 80 -> 127.0.0.2
>
>ifconfig:
>lo0: ...
> inet 127.0.0.2 netmask 0xffffffff
>
>апач:
>jail /usr/local/jails/myweb www.myhost.com 127.0.0.2 "/usr/local/etc/rc.d/apache.sh start"
>
>Ну и для автоматизации ifconfig и запуска читаем ман в месте, где
>говорится про rc(8)
>
>Теперь пожалуйста, не будете ли любезны описание того, как вы начинаете спамить
>из этого джейла от имени пусть даже рута? Будет очень познавательно.
>
1 - не я
2 - залить пхп скрипт который рассылает почту, или у вас из jail запрещена отправка писем?
рассказываю на пальцах:если Вы повесили jail на какой-либо IP, то jail имеет право на connect() только от $src_addr=$jail_ip. Рассказывать дальше, почему Ваш спам не уйдёт никуда с адреса 127.0.0.2 ? (p.s. ядро в случае jail не будет автоматически переназначать src_addr и маршрутизировать пакет за пределы $src_addr_interface). Удачи Вам в нелегком деле борьбы с jail'ами.
>рассказываю на пальцах:
>
>если Вы повесили jail на какой-либо IP, то jail имеет право на
>connect() только от $src_addr=$jail_ip. Рассказывать дальше, почему Ваш спам не уйдёт
>никуда с адреса 127.0.0.2 ? (p.s. ядро в случае jail не
>будет автоматически переназначать src_addr и маршрутизировать пакет за пределы $src_addr_interface). Удачи
>Вам в нелегком деле борьбы с jail'ами.
т.е. письма из jail валидные вы не шлете?
Эм... Скажите, пожалуйста, связка apache+php давно стала MTA? Я что-то не так делаю?
>Эм... Скажите, пожалуйста, связка apache+php давно стала MTA? Я что-то не так
>делаю?
Никогда и не была. Я где-то об этом писал?
Существует знаете така вещь форумы, интернет магазины, которые епизодически шлют нотификации...
Осспади...
pf.conf:
rdr on lo0 proto tcp from 127.0.0.2 to 127.0.0.2 port 25 -> $ext_addr
(это если у Вас Ваш MTA не на 0.0.0.0 биндится)Далее по ходу сессии принудительный SMTP-Auth и никогда Вы спамером не станете. Догадаетесь, почему? Или опять разжёвывать?
>Осспади...
>pf.conf:
>rdr on lo0 proto tcp from 127.0.0.2 to 127.0.0.2 port 25 -> $ext_addr
>(это если у Вас Ваш MTA не на 0.0.0.0 биндится)
>
>Далее по ходу сессии принудительный SMTP-Auth и никогда Вы спамером не станете.
>Догадаетесь, почему? Или опять разжёвывать?
Хорошо, далее. шелл скриптам вы тоже будете авторизацию навязывать? И более того если у вас какой хвостинг, рассказать что кодерам надо использовать smtpauth будет нелегкой задачей, да и допустим ivision bb не умеет ее.
+кто мешает погасить атакующему апач, залить прокси слушающий на 80м порту и слать через него?
>Хорошо, далее. шелл скриптам вы тоже будете авторизацию навязывать? И более того
>если у вас какой хвостинг, рассказать что кодерам надо использовать smtpauth
>будет нелегкой задачей, да и допустим ivision bb не умеет ее.
>
>+кто мешает погасить атакующему апач, залить прокси слушающий на 80м порту и
>слать через него?фаерволл, рубящий все исходящие на 25 порт, кроме коннектов от MTA (юзера типа mail, exim...)
> Хорошо, далее. шелл скриптам вы тоже будете авторизацию навязывать? И более того если у вас какой хвостинг, рассказать что кодерам надо использовать smtpauth будет нелегкой задачей, да и допустим ivision bb не умеет ее.По шелл-скриптам вообще идеальное решение, раз уж об них пошла речь:
# chown root:wheel myscript.sh
# chmod 751 myscript.sh
После такого трюка даже не знаю, как Вы оттуда прописанные явным образом пароли будете тырить...По IPB: или мне изменяет память, или они умели SMTP-Auth еще в 2.0.х, если не умеют - php это позволяет, чуть-чуть перепишите соответствующий класс, спрячьте в недрах кода пасс... Это не так сложно (я ведь правильно полагаю, что беседую с человеком, хотя бы читавшим phpdoc?).
>+кто мешает погасить атакующему апач, залить прокси слушающий на 80м порту и слать через него?
Действительно, сегодня (*nix|linux) достигли апогея приближенности к винде и ничто уже не мешает процессу, запущенному от имени www погасить корневой httpd, как правило имеющий EUID=0.
>>+кто мешает погасить атакующему апач, залить прокси слушающий на 80м порту и слать через него?
>
>Действительно, сегодня (*nix|linux) достигли апогея приближенности к винде и ничто уже не
>мешает процессу, запущенному от имени www погасить корневой httpd, как правило
>имеющий EUID=0.с этого места поподробнее, плз (я надеюсь, я говорю с человеком читавшЫм исходники апача?)
>>+кто мешает погасить атакующему апач, залить прокси слушающий на 80м порту и слать через него?
>
>Действительно, сегодня (*nix|linux) достигли апогея приближенности к винде и ничто уже не
>мешает процессу, запущенному от имени www погасить корневой httpd, как правило
>имеющий EUID=0.ессьно :)
рутовый апач падает по первому требованию nobody :))
> с этого места поподробнее, плз (я надеюсь, я говорю с человеком читавшЫм исходники апача?)Давно ps отменили?
# ps auxw | grep httpd
root 52910 0,0 0,5 8244 4820 ?? Ss чт13 0:02,35 /usr/local/sbin/httpd
www 52916 0,0 0,5 8612 5280 ?? S чт13 0:00,06 /usr/local/sbin/httpd
www 52917 0,0 0,5 9008 5656 ?? S чт13 0:00,05 /usr/local/sbin/httpd
www 52918 0,0 0,5 8664 5336 ?? S чт13 0:00,04 /usr/local/sbin/httpd
...Или я что-то опять не так делаю? ()с
>Давно ps отменили?КАК? выновости не чЕтаете??
давно!
ну а вааще шутка именно в том, что рутовый апач в принципе достаточно безразличен к судьбе потомков. Посему, фиг ему что-либо кто их этих 'www'-шных сделает
>> Хорошо, далее. шелл скриптам вы тоже будете авторизацию навязывать? И более того если у вас какой хвостинг, рассказать что кодерам надо использовать smtpauth будет нелегкой задачей, да и допустим ivision bb не умеет ее.
>
>По шелл-скриптам вообще идеальное решение, раз уж об них пошла речь:
># chown root:wheel myscript.sh
># chmod 751 myscript.sh
>После такого трюка даже не знаю, как Вы оттуда прописанные явным образом
>пароли будете тырить...:) опятьже в случае хостинга это остается объяснить юзерам
>По IPB: или мне изменяет память, или они умели SMTP-Auth еще в
>2.0.х, если не умеют - php это позволяет, чуть-чуть перепишите соответствующий
>класс, спрячьте в недрах кода пасс... Это не так сложно (я
>ведь правильно полагаю, что беседую с человеком, хотя бы читавшим phpdoc?).
>не читал, но не сомневаюсь что средствами php это сделать можно.
>>+кто мешает погасить атакующему апач, залить прокси слушающий на 80м порту и слать через него?
>
>Действительно, сегодня (*nix|linux) достигли апогея приближенности к винде и ничто уже не
>мешает процессу, запущенному от имени www погасить корневой httpd, как правило
>имеющий EUID=0.:)) рассуждать на заданную тему можно достаточно долго - всегда есть человеческий фактор позволяющий злоумышленнику сыграть на опережение.
И я более чем уверен, что найдется более одного jail в котором отсутсвует одно из вами приведенных предположений - дырка наружу 25/tcp, smtp auth, вовремя пропатченная система, грамотные права на файлы и т.п.
>>По шелл-скриптам вообще идеальное решение, раз уж об них пошла речь:
>># chown root:wheel myscript.sh
>># chmod 751 myscript.sh
>>После такого трюка даже не знаю, как Вы оттуда прописанные явным образом
>>пароли будете тырить...
>
>:) опятьже в случае хостинга это остается объяснить юзерамда....
чем что-либо объяснить юзерям - проще просто самому поверить, что все достаточно секурно....
>:) опятьже в случае хостинга это остается объяснить юзерамМы же про jail говорим? Тогда зачем объяснять пользователям? Безопасность данных пользователя в jail - это по большей части результат чесания своей тыковки самим пользователем (правило не работает только при отсутствии chroot'ed-окружения). Своевременный патч тут реже помогает, чем изначально грамотно поставленный content-generation софт.
>И я более чем уверен, что найдется более одного jail в котором
>отсутсвует одно из вами приведенных предположений - дырка наружу 25/tcp, smtp
>authЭм... Мы говорим о том, что пользователь хостинга уже имеет право на правку общесистемного sendmail.cf? Или я где-то недопонял? Я вообще-то говорил о том, что ставите у себя на хостинге на общем ДЛЯ ВСЕХ MTA политику Smtp-auth и всё.
Геморроиться с каждым отдельным хостом спамеры не будут - их излюбленный конёк это Open relay любых ОС и непатченные и нефильтруемые винды.
хм... а что тебе jail даст?
максимум спасет от разрушения родительскую систему (это уже мелочи)и еще
мож я чего то не понимаю, но у меня Apache работает не из под рута.....
Ничего особого рутание апача в этом случае не даст.Будет дыра - атакер снесет все внутри рута.
Бакула-мамакула и отработанная полиси восстановления после сбоя.Все остальное - ананизам.
Я тоже долго думал "меня не сломают", пока не пронаблюдал риал-тайм всю процедуру.
Есть дыра и соответствующий ей зеро-дей - "взлом" превращается в такую же "сложную"
процедуру, как перетаскивание файла мышкой.Откудова зомби-боты берутся? Да вот оттудова же. Ума и ручного труда - не нужно.
Была бы дырка.
>Бакула-мамакула и отработанная полиси восстановления после сбоя.
>И все ваша работа превратится после этого в этот самый онанизм. Ибо поломали, восстановили до следующего бота. Так и будешь весь месяц/неделю или когда там залатают заливать бэкапы. Устранять надо причину а не следствия.
Выходят патчи. После наката патча уязвимость исчезает.
А если ВОВРЕМЯ накатывать, то и уязвимостей (в основном) НЕ бывает.Хачатся забытые и редко обсуживаемые системы.
Где и через год после широкого оповещения стоит уязвимый софт.Цена системы - ящик пива.
Цена данных - иногда и сотни тысяч долларов. Нужна Бакула. Пока есть ленты - есть все. И наоборот.
Такая попс-уязвимость от киддиз вменяемых людей накрывает очень редко.
Но есть и эксплойты, которые НЕ идут на продажу.
Ими РАБОТАЮТ.
Я восстанавливал исходники таких эксплойтов по кускам.
Стращная сила. Данных об уязвимостях - нет, но эксплойты - работают на ура.Нет от них защиты кроме ПОСТОЯННОГО мониторинга.
ПОСТОЯННОГО - это занчит РАЗИКОВ ПЯТЬ в час надо лично нос сунуть в логи и вообще.Не были вы под атакой. Не понимаете сути слов "политика восстановления".
А если пьяная собака нассыт на сервер? Или вы егов горячке разобьете кувалдой?
>Выходят патчи. После наката патча уязвимость исчезает.
>А если ВОВРЕМЯ накатывать, то и уязвимостей (в основном) НЕ бывает.ага. 2 раза, бувает время до недели выхода патча.
>Хачатся забытые и редко обсуживаемые системы.
>Где и через год после широкого оповещения стоит уязвимый софт.
>
>Цена системы - ящик пива.
>
>Цена данных - иногда и сотни тысяч долларов. Нужна Бакула. Пока есть
>ленты - есть все. И наоборот.еще раз лечить - надо не следствия, а причины.
>Такая попс-уязвимость от киддиз вменяемых людей накрывает очень редко.
>
>Но есть и эксплойты, которые НЕ идут на продажу.
>Ими РАБОТАЮТ.>Я восстанавливал исходники таких эксплойтов по кускам.
>Стращная сила. Данных об уязвимостях - нет, но эксплойты - работают на
>ура.
>не надо кричать как ребенок, хотя вы и есть классический скрипт-кидди. ибо нормальные люди сплойты не ищут, они их пишут сами, никак не из чего не собирая, а основываясь на собственном анализе.
>Нет от них защиты кроме ПОСТОЯННОГО мониторинга.
>ПОСТОЯННОГО - это занчит РАЗИКОВ ПЯТЬ в час надо лично нос сунуть
>в логи и вообще.не в лесу, не ори.
>
>Не были вы под атакой. Не понимаете сути слов "политика восстановления".дак разъясните, в частности один простой вопрос - как поможет jail от рассылки спама с хаченного ну допустим пых-пых бб.
>А если пьяная собака нассыт на сервер? Или вы егов горячке разобьете
>кувалдой?мне вас искренне жаль, если у вас такая ситуация в серверной.
>мне вас искренне жаль, если у вас такая ситуация в серверной.Ну-ну. У меня в руках (практически в руках, думаю пора прибрать) ЛЕНТЫ.
Можете взорвать серверную моего провайдера.
Я займу баблоса на недельку, соберу новый сервак, снесу его на ПЕРВЫЙ ПОПАВШМЙ колокейшн и ВОССТАНОВЛЮ КОНТЕНТ.
И снова буду получать свою штуку баксов в день.
Систему я ставлю с закрытыми глазами и пьяный в жопу. Левой ногой. За пять-десять часов.
А с сервером и серверной может случиться что угодно.
Например, покуратура будет ее взламывать с кувлдой и нассыт в сервер.Вы просто не имеете дела с ДАННЫМИ, которые кормят вас лично.
А у ж сколько об этом говорено... Ну, да не в коня корм.
Defective by design, что тут говорить.
Все сказли уже в ветке про ушедшего разработчика PHP.
>Defective by design, что тут говорить.
>Все сказли уже в ветке про ушедшего разработчика PHP.Надо просто ввод проверять.
На том же ПХП достаточно фреймворков есть для контроля УРЛа.Что, молотки обявить теперь опасными на том основании,
что ими можно спящих старушек о...чивать?Гвозди тоже можно поставить вне закона - их глотать можно.
>
>Надо просто ввод проверять.
>На том же ПХП достаточно фреймворков есть для контроля УРЛа.
>
>Что, молотки обявить теперь опасными на том основании,
>что ими можно спящих старушек о...чивать?
>
>Гвозди тоже можно поставить вне закона - их глотать можно.Гы-Гы-Гы. ПХП - молоток !!! Это чересчур лестно!!!
ПХП - это большая помойка, и уж никак не низкоуровневое средство разработки.
Уместнее было бы сравнить с пиротехникой для фейерверков, которая с вероятностью 50%
взрывается в руках.
Но общая мысль вполне логична - зачем же ставить помойку вне закона ?!
А для php как cgi эта уязвимость тоже распространяется?
ептя народ, вы чо
какой рут, какая очистка корня в чруте??
максимум - это полный доступ к файлам nobody, рассылка спама (соглашусь)
чтоб удалить остальные файлы из чрута, нужно id=0
а чтоб выйти из чрута, опять-таки нужно выполнить chroot() тоже от rootчтобы запустить свой код, атакеру надо еще доступ к системным функциям php иметь...
>чтоб удалить остальные файлы из чрута, нужно id=0В современных Linux получить root имея nobody не так трудно, если админ не обновляет еженедельно ядра и всегда успевает это сделать первее взломщика.
хех
от патча этого смысла никакого =)
http://rst.void.ru/forum/viewtopic.php?t=2682
вот 0day уже старенький, с вышеуказанным патчем работает без проблем...
>хех
>от патча этого смысла никакого =)
>http://rst.void.ru/forum/viewtopic.php?t=2682
>вот 0day уже старенький, с вышеуказанным патчем работает без проблем...я наверное чтото не так делаю..
tiger@bsd6# apachectl -v
Server version: Apache/2.0.58
Server built: Aug 1 2006 07:56:44
%php -v
PHP 4.4.2 (cli) (built: Jun 22 2006 09:25:59)
и не пашет этот сплойт.
тут работает..
tiger@dev[/home/tiger]#php -v
PHP 4.4.2 (cli) (built: Mar 30 2006 14:15:38)
tiger@dev[/home/tiger]#apachectl -v
Server version: Apache/2.0.55
Server built: Mar 30 2006 11:53:18