FastNetMon

Thursday 31 December 2009

Защищаемся от руткитов/спам скриптов и сканеров

Подавляющее большинство серверов взламываются через уязвимости в скриптах, позволяющие что-либо загрузить (обычно это perl скрипт) в /var/tmp либо /tmp и оттуда запустить (обычно PHP функцией exec).

Есть очень интересный вариант защиты - снятие exec флага с файловых систем /tmp и /var/tmp, это можно сделать следующим образом: http://www.debian-administration.org/articles/57

От второго можно защититься следующим образом, указав в /etc/php.ini либо /etc/php5/apache2/php.ini следующее (после внесения изменений необходимо перезапустить апача - /etc/init.d/httpd restart либо для Дебияна: /etc/init.d/apache2 restart):
disable_functions = dl, shell_exec, posix_mkfifo, exec, system,passthru, symlink, link, set_time_limit, max_execution_time


Это запретит ряд не безопасных функций предотвратит запуск бОльшей части вредоносных скриптов.

No comments :

Post a Comment

Note: only a member of this blog may post a comment.