[FUG-BR] Perigo- sudo + apache
Mario Augusto Mania
m3.bsd.mania em gmail.com
Sexta Outubro 29 17:51:26 BRST 2010
Cara... vou te dar uma dica:
Faca toda a sua apliacao rodar como usuario SEM privilegios de root,
como por exemplo o proprio usuario WWW.
Ao inves de executar comandos, a sua apliacao simplesmente GRAVA o que
deve ser feito numa base SQL, tipo sqlite (ou mysql/pgsql).
Ai vc tem um script no cron rodando de minuto em minuto (*/60) que le
a base sql e executa os comandos.
Sendo assim, vc tera duas bases de validacao para que nada de ruim
acontece, primeiro vc verifica o que vc INSERT na tabela, segundo, na
hora de fazer o RUN lendo o SQL, vc tambem valida se o que tem que ser
feito nao é arriscado.
m3
Em 29 de outubro de 2010 14:51, Oscar Marques <oscarbm em gmail.com> escreveu:
> Se tiver algum script com falha de RFI, LFI, e etc...
> Voce pode sofrer um ataque, o atacante pode fazer bindshell ou connect back
> e ter acesso.
> Nao rodaria apache com permissao de root.
>
> 2010/10/29 coopermine <coopermine em bol.com.br>
>
>> Exatamente, oque eu gostaria e de uma maneira de testar essa
>> vunerabilidade aqui na pratica para tentar arrumar uma solução,
>> alguem tem alguma ideia?
>> __________________________________________________________________
>>
>> Em 29/10/2010 13:42, Leandro Keffer < keffer666 em gmail.com > escreveu:
>> Acredito que não desde que tenha alguma vulnerabilidade existente na
>> versão
>> que esta o apache.
>> Porém voce fica exposto a vulnerabilidade e exploits nao publicados.
>> Ideal seria rodar esse serviço com o usuário www sem privilegio
>> mesmo.
>> Att
>> Em 29 de outubro de 2010 13:39, coopermine escreveu:
>> > Ola lista,
>> >
>> > Tenho um servidor apache com o sudo rodando com permissao root, eu
>> sei
>> > que isso é muito perigoso, gostaria de saber como alguem pode
>> >
>> > usar dessa falha na pratica, como a pessoa conseguiria enviar um
>> > comando para meu servidor?
>> >
>> > ps: o servidor esta com um captive e nenhum usuario consegue hospedar
>> > paginas aqui, ele é somente para o captive, por isso a pergunta
>> >
>> > Existe alguma maneira de alguem rodar algum comando nele? se sim..
>> > como?
>> > -------------------------
>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
Atenciosmente
Mario Augusto Mania <m3BSD>
-----------------------------------------------
m3.bsd.mania em gmail.com
Cel.: (43) 9938-9629
Msn: mario em oquei.com
Mais detalhes sobre a lista de discussão freebsd