- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Маркетинг для шоколадной фабрики. На 34% выше средний чек
Через устранение узких мест
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Ищем вызов open_tty
Подробнее:
Обнаружен бэкдор в системах с Apache, установленных вместе с cPanel
Дыкть на опеннете еще 27 запостили...
http://www.opennet.ru/opennews/art.shtml?num=36810
Вот только хостеры никак не хотят его читать.
Хотят, читают.
На хабре тоже было.
Если клиентам не выдается ssh то поставить ограничение в файерволе по айпи на порт ssh.
Не будет брута - не будет и взлома. Хотя это уже другая история, методов защиты от брута множество. А те кому наплевать и получают взлом и хакнутый апач.
Для этого надо получить рут.
В WHM есть блокировка такой фигни, чтобы не брутили + отключаем ssh по логину и паролю.
И пусть все хакеры хоть изломаются.
Давать клиентам на виртуальном хостинге SSH анахронизм, пусть себе VPS берут и тусят там с рутом.
На opennet конечно бывает полезное, но в основном то что касается веб технологий и веб специфики - тамошние "бородатые" админы все кроме ssh называют говном и вообще freebsd рулит.
По уязвимости,
Получается, если перед апачем стоит nginx, то атака или вообще не возможно, или во всяком случае будет крайне затруднительна, т.к. nginx будет бить соединение по таймауту.
И не совсем понятно, как веб сервер инфицируется и причем тут cPanel.
Вроде как речь идет о замене бинарного файла. Но чтобы его заменить, нужен рут доступ?
И все равно остается вопрос, причем тут cPanel? Если есть рут доступ, то заменить можно файл на любых серверах.
---------- Добавлено 30.04.2013 в 13:17 ----------
Давать клиентам на виртуальном хостинге SSH анахронизм, пусть себе VPS берут и тусят там с рутом.
Да как раз наоборот, ssh на виртуальном хостинге уже необходимость очень часто.
Но,
1. У cPanel есть штатный ssh jail
2. Под CloudLinux`s CageFS (что мягко говоря рекомендуется хостинг серверам) полностью изолированное окружение. Полный chroot.
Да как раз наоборот, ssh на виртуальном хостинге уже необходимость очень часто.
Я думаю, что лучше пусть клиенты обращаются к админам, чтобы они что-то сделали им, чем вдруг. Бывает же, не правда ли? :)
Весь ответ заключается вот тут (собственно у источника создания паники :D ):
http://blog.sucuri.net/2013/04/apache-binary-backdoors-on-cpanel-based-servers.html
We also don’t have enough information to pinpoint how those servers are initially being hacked, but we are thinking through SSHD-based brute force attacks.
Доведу смысл может кто-то не понимает "Мы не располагаем информацией на тему как именно был взломан этот сервер но мы думаем, что это произошло через брутфорс атаки на SSH. "
А теперь по русски: Если вам взломали SSH получили root доступ .... только в 2000х годах хакер мог сделать "rm -rf / " и поржать дома у ПК :D Сегодня же куда интереснее поработить сервер и заставить его выполнять что-то для себя.... по этому хакер на стал убивать и даже трогать вашу систему, он скомпилил новый веб сервер который делает что-то для него и ушел....
Я лично пока не нашел пруфов, что это уязвимость апача, ssh-a, cpanel или чего либо другого, просто был выявлен факт того, что сервера с cPanel были заражены, но разве там написано что в исследование принимало участие 100 серверов с cPanel, 100 DirectADmin, 100 ... еще каких-то панелей, просто судя по тому что сказано, анализ проводился на серверах с cPanel, с таким же успехом я могу предполагать что у всех этих адресов оказался 1 админ который пропил свой пароль (http://www.securitylab.ru/news/439716.php) :D
/// Обновление
Только что проверил 10 серверов (2 из них вообще клиентские) путем предлагаемого примера:
grep -r open_tty /usr/local/apache/
Ни в одном из случаев не было позитивного поиска.
На всех установлена cPanel.
Кто-то из здешних с cPanel может подтвердить наличие бекдора у себя?
Спустя четыре года нашли
Кто-то из здешних с cPanel может подтвердить наличие бекдора у себя?
Проверил дюжину серверов с cPanel (в разных случаях на серверах установлены либо nginx, либо cloudlinux + cagefs, либо grsecurity патч, либо нет ничего этого) - ничего подозрительного найдено не было.
P. S. Не совсем понятно, почему уязвимость "ограничивают" серверами с cPanel.
Ну в этом и дело.
Даже проверять лениво :)
Из серии того что я написал выше про opennet. cPanel по определению гавно и все в дырках, поэтому и так понятно что проблема в cPanel.
Всех с праздниками!
P.S. Имеет смысл выделить хостинг-админов в отдельную профессию, а? И самое главное, праздник отдельный сделать :)