Вахтёр: на страже системы

«Однажды, в студёную зимнюю пору,
Залили на сервер бэкдорчиков гору...»

Народное админское творчество

Вахтёр

Вобщем как то раз на одном из серверов обнаружился php-shell, через который злобные хакеры поломали уютный дневничок™ хорошего человека.
После двухчасового ковыряния в логах Апача нашлась дыра, через которую залили шелл.
Дыру прикрыли, дневничок вернули к жизни из бэкапов, и сели думу думать.

После третьей бутылки пива родилась идея: «А почему бы не отлавливать выполнение системных вызовов из php скриптов?».
Смысл в том, что большинство php-шеллов так или иначе используют функции exec();, system();, shell_exec(); или passthru();. Соответственно выполнение этих функций можно перехватить и тихонько в лог записать, что такого-то числа такой-то скрипт на такой-то строке вызвал функцию exec() с параметром «rm -rf /».
Сказано-сделано. Хорошему человеку kastigar было поставлено тех. задание и работа закипела.
Уж как он расковыривал тонкости Zend Engine я рассказывать не буду, но в конце концов родилось расширение для PHP4/PHP5 под кодовым именем BAXTEP.
Изначально мы не планировали выкладывать код в общий доступ, ибо писалось всё в общем и целом «для себя» и «от и до» не тестировалось, но дух open source всё-таки взял своё — и исходники были выложены на GoogleCode.

Сборка и установка:

Расширение поддерживает версии PHP 4 и 5.

Требования:

— пакеты для разработки PHP4/PHP5 (php4-dev, php5-dev)
— gcc
— subversion

Забираем исходники:

svn checkout http://baxtep.googlecode.com/svn/trunk/ baxtep

Собираем:

cd baxtep

phpize

./configure

make

После сборки вытаскиваем baxtep.so из директории ./modules/ и кладём в extension_dir, и в php.ini добавляем примерно такие строки:

;;;;;;;;;;

; BAXTEP ;

;;;;;;;;;;

; Load extension

extension=baxtep.so



; Absolute path to logfile. File must exist and have write access for php

baxtep.logfile = "/tmp/baxtep_messages"

Лог-файл нужно создавать самому. Кроме того, php-скрипты должны иметь достаточно прав для записи в этот файл:

touch /tmp/baxtep_messages

chmod 777 /tmp/baxtep_messages

Всё, рестартуем Апач, пишем тестовый скрипт и смотрим лог. Там будет нечто навроде этого:

2009-03-13 07:59:05 BAXTEP: system CMDLINE: `pwd` FILE: /var/www/html/test.php on line 5 URI: /test.php

Формат:

ГГГГ-ММ-ДД ЧЧ:ММ:СС BAXTEP: функция CMDLINE: команда FILE: полный путь к файлу на ФС on line N URI: собственно REQUEST_URI

_________
Текст подготовлен в ХабраРедакторе

UPD: l0rda собрал пакеты для CentOS 5 (i386 и x86_64), скачать можно тут: rpm.l0rda.biz/CentOS/5/RPMS/i386/, ключ: rpm.l0rda.biz/L0RDA-KEY

+102

16 сентября 2009, 04:00

160

br0ziliy 33,1

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

комментарии (138)

br0ziliy 16 сентября 2009, 04:00 #

Если есть какие то вопросы по технической части расширения — велкам в аську/джаббер, дам контакты программиста (аккаунта на Хабре у него нет).

lasc 16 сентября 2009, 09:21 # ↑

ну для хорошего человека и инвайта не жалко, у меня как раз завалялся

br0ziliy 16 сентября 2009, 09:28 # ↑

Камрад ayurganov уже отправил инвайт, спасибо!

kastigar 16 сентября 2009, 11:23 # ↑

Спасибо за инвайт, уже с вами )

v_k 16 сентября 2009, 06:56 #

интересно, спасибо

druzhkov 16 сентября 2009, 06:59 #

скажите, а почему вы не прикрыли в php.ini такие опасные функции вроде exec(), system() и т.д.?

psyhomo 16 сентября 2009, 07:05 # ↑

Бывает, что они используются и в мирных целях =) Например, при использовании netpbm для ресайза картинок.

1amer 16 сентября 2009, 07:48 # ↑

Я, например, во многих проектах использую imagemagic

tnz 16 сентября 2009, 09:15 # ↑

Так лучше вкрутить расширение IMagick и пользовать всё изнутри.

br0ziliy 16 сентября 2009, 09:16 # ↑

Не всегда лучше/есть возможность. Тут уже программисты пусть меня поправят.

НЛО прилетело и опубликовало эту надпись здесь

GreenDay 16 сентября 2009, 07:08 #

А почему лог пишется в /tmp? Разве после рестарта сервера у Вас все логи не канут в лету? А что вызвало рестарт так и не узнаете.

naPmu3aH 16 сентября 2009, 07:15 # ↑

Добавляйте в php.ini примерно другие строки, с путем для лога который вам больше нравится

br0ziliy 16 сентября 2009, 08:07 # ↑

Как ниже верно заметили, местоположение файла с логом кастомизируется через php.ini

GreenDay 16 сентября 2009, 08:34 # ↑

Это я просто к тому, что многие используют готовое неосмысленно и писать логи в /tmp плохая затея. Поэтому для вышеозначенных людей такие примеры могут закончится плачевно. :)

br0ziliy 16 сентября 2009, 08:38 # ↑

Админ, который «неосознанно» ставит непонятный php-extension, который работает напрямую с ситемными вызовами — плохой админ :) Как минимум исходники глянуть стОит — вдруг троян.

lenar 16 сентября 2009, 07:29 #

интересно было бы еще почитать, что за дыра там обнаружилась

br0ziliy 16 сентября 2009, 08:06 # ↑

Да стандартный XSS, не проверялась переменная на то, что внутри приезжает — вот и налили фекалий… А там директории с 777-правами… Ну вобщем как то так :)
Закрыл через mod_security и забыл.

alfa 16 сентября 2009, 07:43 #

Но те-же php-shell'ы замечательно умеют подтирать логи за собой :( в принципе, в вашем случае, можно натравить inotify на /tmp/baxtep_messages и отсылать мыло на интересующие события

1amer 16 сентября 2009, 07:50 # ↑

систему они писали для себя так что вряд ли пхп-шелл будет подтирать информацию в этом логе, по крайней мере пока система не станет популярной.

alfa 16 сентября 2009, 07:53 # ↑

Ну насколько я помню исходник одного, там делалось rm -rf /tmp/;rm -rf /var/log/

br0ziliy 16 сентября 2009, 08:04 # ↑

Да, многие делают так — но это же просто пример… Никто не мешает уложить лог куда нибудь похитрей (и не светить его в phpinfo).

1amer 16 сентября 2009, 09:04 # ↑

ну это уж слишком палевно. смысл так логи удалять?

br0ziliy 16 сентября 2009, 09:07 # ↑

:) камрад alfa погорячился скорее всего, /var/log никто удалить и не даст

alfa 16 сентября 2009, 09:14 # ↑

Удалятся те файлы в директории, куда хватила правов собственно разумеется речь не шла что вся директория будет удалена. Как говорится юзайте suphp т.п. вещи, и будет немножечко счастье. Я имел удовольствие помогать одним знакомым восстанавливать работоспособность системы после очередного взлома. /var/log/ была без самых нужных файлов на тот момент, собственно одним из первых действий стало писать syslog по сети на другой сервер.

alfa 16 сентября 2009, 09:15 # ↑

Цели взлома же разные бывают, правда? Где-то цель не поставить красивый iframe на страницу, а тупо нарушить работу системы.

1amer 16 сентября 2009, 10:15 # ↑

Тогда зачем вообще тереть логи?

alfa 16 сентября 2009, 10:18 # ↑

Чтобы сложнее было разобраться, каким образом поломали систему, зачем же ещё удаляют логи по вашему?

1amer 16 сентября 2009, 10:58 # ↑

ну если цель нарушить работу системы и есть права на удаление /var/log, почему бы тогда не удалить /?

alfa 16 сентября 2009, 11:01 # ↑

Потому-что зачастую в /tmp или /var/log лежит то, чему бездумно делалось

alfa 16 сентября 2009, 11:04 # ↑

chmod 777 /tmp/baxtep_messages

а так разумеется, если правов на корень хватило, то можно грохнуть и его, впрочем смысла то большого нет, достаточно убить хомяк, /etc, почистить /var и у рута и отправить систему в ребут, какой смысл ждать пока удалится /usr и иже с ним если и этого достаточно.

br0ziliy 16 сентября 2009, 11:09 # ↑

Да по большому счёту rm -rf /boot/* && reboot достаточно тогда уж…

alfa 16 сентября 2009, 11:56 # ↑

Чтобы тачка не поднялась, да, а чтобы админ потрахался с восстановлением данных нет.

br0ziliy 16 сентября 2009, 11:59 # ↑

Ну, ежель точка наодится за океаном — админ и так потрахается. И IP-KVM не поможет. Пока до reboot monkeys донесёшь, что от них требуется Кнопикс вставить и настроить сеть и ССШ на нём — не один час пройдёт…

zvirusz 16 сентября 2009, 12:02 # ↑

Эмм… попросить КВМ да установочный диск от ОС — думаю до СП быстро дойдёт смысл просьбы, даже на ломанном английском

br0ziliy 16 сентября 2009, 14:53 # ↑

С английским как раз всё ок.
Не ок стафф в ДЦ, где сервера стоят. Они по-моему даже не знают, с какой стороны ЦД-РОМ находится у сервера.

(Личный опыт к сожалению)

zvirusz 16 сентября 2009, 15:07 # ↑

омг, сочувствую

alfa 16 сентября 2009, 12:25 # ↑

Согласитесь, что неработающих 3 часа сервер != неработающий 3 часа сервер и потерянные данные? А зная как многие админы относятся к бэкапам…

br0ziliy 16 сентября 2009, 14:23 # ↑

> А зная как многие админы относятся к бэкапам…
Если вы потеряли важные данные — восстановите их из бэкапа. Если бэкапа нет — значит данные были не важные.
Как то так :)

alfa 16 сентября 2009, 14:25 # ↑

Интересно, хоть 10% комментариев в этом посте по теме? :)

br0ziliy 16 сентября 2009, 14:52 # ↑

А чего, неплохой такой топик получился… Удивило практически полное отсутствием говна в каментах. Хабр тот?

lolipop 18 сентября 2009, 17:32 # ↑

cat /dev/urandom > /dev/hda

alfa 16 сентября 2009, 09:38 # ↑

Защита путём сокрытия (или ставка на малоизвестность), это как прерванный половой акт, очень часто используется как средство контрацепции, но и наименее надёжное из всех остальных.

br0ziliy 16 сентября 2009, 09:47 # ↑

Мы от лога вообще отказаться хотим, в вишлисте есть пункт «возможность писать в syslog»

zerkms 16 сентября 2009, 08:07 #

а про ` не забыли? :-)

l0rda 16 сентября 2009, 08:20 # ↑

это обертка вокруг функции shell_exec

br0ziliy 16 сентября 2009, 08:23 # ↑

Из мануала по PHP:

Use of the backtick operator is identical to shell_exec().

zerkms 16 сентября 2009, 08:33 # ↑

а. пардон %)

l0rda 16 сентября 2009, 08:08 #

svn checkout baxtep.googlecode.com/svn/trunk/ baxtep
поправьте в тексте на
svn checkout http://baxtep.googlecode.com/svn/trunk/ baxtep

чтобы оно линк не заменяло

будем тестить, модуль интересный :)

l0rda 16 сентября 2009, 08:19 # ↑

действительно работает ;)
тестировал на PHP Version 4.4.9, собранный статиком в апач

br0ziliy 16 сентября 2009, 08:27 # ↑

Ну вобщем и целом именно 14-я ревизия у меня работает уже пол-года на серверах — тьфу-тьфу без багов.
Хотя конфузы случались :) Когда в самом неожиданном месте отваливались все скрипты из-за бага с работой с Zend Engine в расширении.

l0rda 16 сентября 2009, 08:59 # ↑

запрос фичи :)
нельзя ли сделать так, чтобы лог хотя бы пытался сам создасться?
после каждого ребута создавать тяжко (я понимаю что можно прописать в rc.local, но все-таки) особенно если серверов сотня

br0ziliy 16 сентября 2009, 09:02 # ↑

Это в вишлисте есть :) Посмотрите страницу Wiki на GoogleCode.

Будет время — посмотрим.

l0rda 16 сентября 2009, 09:13 # ↑

супер, ну и последние пожелания — добавить остальные функции в мониторинг, через которые обычно выполняют команды:
proc_open
popen

и сделать этот список настраиваемым из конфига, чтобы можно было добавлять другие функции в мониторинг

br0ziliy 16 сентября 2009, 09:27 # ↑

> сделать этот список настраиваемым из конфига
тоже в вишлисте.
В любом случае список перехватываемых ф-ций — hardcoded, потому что на каждую пишется свой обработчик… То есть будет список предопределённых ф-ций, которые можно перехватить, а из конфига будет определяться — хэндлить эту ф-цию через расширение или нет.

br0ziliy 16 сентября 2009, 08:26 # ↑

Поправил, спасибо.

youlose 16 сентября 2009, 08:29 #

Вообще есть SELinux, зачем «велосипед»?
Под виндовс аудит есть, не проще ли админа позвать для помощи?

br0ziliy 16 сентября 2009, 08:32 # ↑

По определённым причинам SELinux нам не подходит.

> Под виндовс аудит есть, не проще ли админа позвать для помощи?
«Программа выполнила недопустимую операцию и будет закрыта. Обратитесь за помощью к системному администратору»? :)
А если серьёзно — про Win* не в курсе совсем, так получилось, что админю Linux only.

youlose 16 сентября 2009, 08:50 # ↑

Опять же chroot никто не отменял для таких целей,
просто есть куча готовых решений, почему бы не попробовать сначала их, потом (если не получится) попросить помочь людей которые в этом более сведущи, а потом уже (если совсем ничего не вышло) писать дополнительный код.
Задача выглядит вполне решабельной готовыми на данный момент средствами, зачем разводить зоопарк и путать начинающих специалистов?

l0rda 16 сентября 2009, 09:01 # ↑

ну на шаред хостинге например, каждого в chroot не засунешь, SELinux опять же, пока(!) тяжко, мне не кажется, что кто-то кого-то путает, расширение полезное, а тем кому оно не нужно вряд ли будут его ставить

br0ziliy 16 сентября 2009, 09:06 # ↑

Вот начинающие специалисты (ежель они серьёзно относятся к профессии) пусть проходят все этапы с поиском готового решения.
Изобретать велосипеды никто и не думал и доп. код пишется тогда и только тогда, когда это действительно необходимо. Нам — было действительно необходимо.

странно что про suhosin никто не вспомнил

alfa 16 сентября 2009, 09:23 # ↑

С suhosin свои грабли :) Хочу на недели потестить suhosin + greensql на предмет оверхеда.

br0ziliy 16 сентября 2009, 09:29 # ↑

— Как вы смотрите на suhosin?
— Косо.

Как то меня в своё время не впечатлило. Может, зря, надо будет посмотреть ещё раз.

alfa 16 сентября 2009, 09:34 # ↑

Я использую его на массхостинге одном своём. Для меня как для хостера с ним довольно много проблем, т.к. сайты пишут многие так, что волосы дыбом встают вначале у suhosin, а потом уже у меня :) Но проблемы больше с тем, что месяца два его приходится тюнить, пока не выявлены все криворукие скрипты, а потом уже в обычном порядке мониторить и реагировать на жалобы, когда очередной мегаскрипт не смог постом отправить тысяч 5 переменных :)

Но после добавления его проблем со взломанными сайтами стало ощутимо меньше. Есть соображение, что после добавления greensql их ещё немного уменьшится.

l0rda 16 сентября 2009, 09:44 # ↑

а не пробовали связку apache-fastcgi-suexec-php?
у нас четвертый год работает, никаких нареканий и проблем с безопасностью поменьше, чем при использовании suhosin, единственный минус(хотя я считаю это плюсом) директивы php_flag не работают в .htaccess

alfa 16 сентября 2009, 09:48 # ↑

у меня всё так :) + suhosin и + nginx в качестве фронтенда.

По поводу минуса указанного вами, он очень просто решается, кидаете в
/home/user/ файл пустой php.ini с правами не дающими юзверю самому править его, кидаете туда дерективы которые хотите переопределить юзверю и в
/home/user/public_html/.htaccess добавляете

suPHP_ConfigPath /home/user

и всё (пути разумеется даны исключительно для примера)

br0ziliy 16 сентября 2009, 09:52 # ↑

Хм, а если стоит задача именно пользователю дать возможность тюнить директивы php.ini?

alfa 16 сентября 2009, 09:53 # ↑

Ну тогда дать права на запись :)

br0ziliy 16 сентября 2009, 10:48 # ↑

Кстати, стесняюсь спросить…
Cpanel?

alfa 16 сентября 2009, 11:00 # ↑

На одном из серверов, ага.

l0rda 16 сентября 2009, 17:02 # ↑

а мы просто добавляем в конфиг виртуалхоста:
SetEnv PHPRC "/home/user/domain.com"

suexec предварительно пропатчен, для него разрешены переменные окружения GEOIP_* и PHPRC

в папке домена лежит тот же php.ini
но изменять его может только админ по запросу,
обычно просят изменить register_globals

br0ziliy 16 сентября 2009, 09:51 # ↑

А мы и под это расширение написали ;) Но тут уж сорри — корпоративный копирайт не позволяет сорцы отдавать (ВАХТЕР писался по собственной инициативе, а вот процессинг php_flag/php_value в .htaccess для suphp — коммерческий заказ непосредственно владельца серверов).

br0ziliy 16 сентября 2009, 09:49 # ↑

Я как представлю заживление suhosin у себя — брррр.
Не, я не готов снова отбивать 100+ жалоб в час (реальная цифра после перехода на PHP5 по-умолчанию)…

acy 16 сентября 2009, 10:51 # ↑

То есть мне не придется теперь проверять вводимые данные, прежде чем отравить запрос? ): Ну, право слово, всю романтику убивает.

alfa 16 сентября 2009, 10:59 # ↑

Умные люди делают все проверки сами, глупцы полагаются на авось, никто не виноват, что на массхостингах основная масса альтернативно умные.

pietrovich 16 сентября 2009, 09:28 # ↑

странно что про suhosin никто не вспомнил

а помогает?

br0ziliy 16 сентября 2009, 09:30 # ↑

Ну именно для перехвата системных вызовов — нет. А так — от переполнения буфера и обращения не в своё адресное пространство может и спасёт :)

pietrovich 16 сентября 2009, 13:33 # ↑

потому и не вспомнили :)

squint 16 сентября 2009, 10:14 #

А зачем именно расширение?
Можно было бы просто…

rename_function('exec', '_exec');
override_function('exec','safe_exec');

ну и как вариант задать в safe_exec допустимые команды.

br0ziliy 16 сентября 2009, 10:52 # ↑

Эм… Оно ж вроде только внутри скриптов работает.
А нам как то влом было лопатить скрипты 100+ аккаунтов :)
Посему спустились на уровень движка Zend, чтоб бить врага на подходах, так сказать.

kastigar 16 сентября 2009, 12:00 # ↑

Во-первых, rename_function и override_function — функции другого расширения APD. Какая разница, если нужно подключать APD вместо вахтера.
Во-вторых, как заметил br0ziliy, этот код нужно добавлять во все скрипты. И есть возможность и даже скорее всего так и будет, что php-шелл будет пускаться отдельным скриптом с обыкновенным exec. Как туда включить Ваш код?
Ну и в-третьих, мне очень хотелось ковырнуть php extensions :)

squint 16 сентября 2009, 13:14 # ↑

всё верно, я уже вижу что предложил бесполезный на практике вариант)

mazy 16 сентября 2009, 10:49 #

после добавления сухосина на сервер (debian, php 5.2.10, запущен как fastcgi ) fcgi сервера дружно попадали в корку сразу же при старте. пришлось отказаться.

br0ziliy 16 сентября 2009, 10:58 # ↑

А не разбирались, в чём именно проблема?

mazy 16 сентября 2009, 11:06 # ↑

к сожалению не было времени и желания разбираться.
пробовалось на 3х разных серверах с одинаковой настройкой — debian — php-cgi —
на всех 3х валится.

baxtep2 16 сентября 2009, 11:01 #

чьорт моим ником прогу назвали

br0ziliy 16 сентября 2009, 11:14 # ↑

:)

имя расширения сильно раньше 02 марта 2009 появилось

baxtep2 16 сентября 2009, 12:10 # ↑

:) я родился еще раньше

lolipop 18 сентября 2009, 17:37 # ↑

ник вы при рождении получили? ;)

zCooler 16 сентября 2009, 11:39 #

777 на лог-файл?? Вы его исполнять собрались?

–2

br0ziliy 16 сентября 2009, 11:43 # ↑

А где припска «Не зануда»?
Ну привык я world-writeable permissions выставлять как 777. Да и chmod 666 как то не того… В системе и так демонов достаточно. 777 получше выглядит ;)

zvirusz 16 сентября 2009, 11:55 # ↑

chmod a+w %)

–1

br0ziliy 16 сентября 2009, 12:00 # ↑

буэ
Никогда не юзал символьную запись если честно :) И не помню, какие буквы там за что отвечают.

kibizoidus 16 сентября 2009, 13:53 # ↑

Вообще за «777» на любом файле руки отбивать нужно.
Получается, вы пишете .so'шку для сохранения безопасности, и тут же нарушаете ее основы.
Деление на ноль прям.

zCooler 16 сентября 2009, 13:33 # ↑

При чем тут занудство?

А привычку Вы свою меняйте. Ибо негоже на логи ставить +x бит. Да и что тут такого в 666? Суеверность? Глупо в век цифровых технологих отмахиватся суеверием.
В любом случае правильное присвоение прав залог успеха.

br0ziliy 16 сентября 2009, 14:25 # ↑

В качестве здравой дискуссии…

Чем принципиально плохо назначение исполняемого бита файлу, который не планируется выполнять?
Не, я конечно сам любитель при случае пустить find ./ -type f -name *php -exec chmod 644 '{}' \; — хотелось бы услышать стороннее мнение.

kastigar 16 сентября 2009, 15:16 # ↑

Вставлю свои 5 копеек.
Я считаю что все зависит от контекста файла. Если это «надежный» файл, т.е. в него не попадет код какой-нибудь, который можно исполнить, то ничего страшного нету, в крайнем случае он просто не сможет выполнится. Если же файл «ненадежный», т.е. при каком-то стечении обстоятельств может попасть исполняемый код, то, естественно, это потенциальная уязвимость.
К тому же права 777 просто показывают всеобщий доступ (666 уже говорит о каких-то ограничениях).

С другой стороны, если обратится к первоисточнику (лог файл в папке /tmp с правами 777), то зря спорите. Естественно файл будет затираться, конечно же права 777 никуда не годятся… Просто это не конечный продукт, и основная его задача не «красиво писать логи», а вообще дать возможность писать логи ) Все мои силы были направлены на корректный оптимальный отлов событий.

youlose 16 сентября 2009, 15:58 # ↑

Надёжных файлов не бывает, любой серьёзный вирус или прямая сессия злоумышленника и сразу это начинаешь понимать. Лучьше сразу всё правильно делать… поначалу неудобно, а потом привыкаешь.

Bambr 16 сентября 2009, 15:55 # ↑

Я бы на него и 666 ставить не стал на Вашем месте. В Вашем случае еще веселее — любой кулхацкер может его сначала переписать своим контентом, а потом выполнить. Причем первое и второе может быть без труда проделано под разными юзерами.

Чем вам не угодили варианты вида 660, 600, где право записи можно отдать только тому, кому нужно?

Забыл приписку: «Зануда».

RamonZzz 22 сентября 2009, 09:16 # ↑

Бро, тут же не в красоте дело, а в безопасности :)

zvirusz 16 сентября 2009, 11:55 #

а не подскажите ли, есть готовые способы логирования mail()?

br0ziliy 16 сентября 2009, 12:01 # ↑

Готовых — нет. У нас (опять же по корпоративному заказу) это реализовано php-расширением

zvirusz 16 сентября 2009, 12:03 # ↑

а можно и его опубликовать? :) а в идеале — скрестить с вахтёром?

kastigar 16 сентября 2009, 12:08 # ↑

ммммм. А это идея :) Можно в вишлист/todo добавить

br0ziliy 16 сентября 2009, 14:21 # ↑

Нелья его опубликовать — это коммерческий проект, не имеем права.
А вот написать нечто подобное — можно. Если время и желание будет :)

mvs 16 сентября 2009, 12:35 # ↑

ru2.php.net/manual/en/mail.configuration.php#ini.mail.log

mail.log Available since PHP 5.3.0.
Log all mail() calls including the full path of the script, line number, To address and headers.

zvirusz 16 сентября 2009, 13:06 # ↑

Чёрт, забыл упомянуть, что php 5.2 — сервак на debian etch, на lenny (для него хоть есть готовые бинарные) перейти не можем — Plesk мешает (да и неизвестно, как то же самый плеск себя поведёт на 5.3) :(

trolik 16 сентября 2009, 12:42 #

писать логи нужно использую syslog
а уж в нем можно настроить запись на другую машину, так более безопасно

br0ziliy 16 сентября 2009, 14:28 # ↑

> писать логи нужно использую syslog
Нужно. Выше я писАл что этот функционал запланирован.
А так — расширение по GPLv2 распространяется, никто не мешает взять и дописать самому «чонада» ;)

–5

odessky 16 сентября 2009, 13:14 #

Статья — хуйня и вот почему
1) Опасные функции можно банально отключить, php позволяет это делать
2) Для защиты от phpshell и тп очень помогает mod_security

kastigar 16 сентября 2009, 13:45 # ↑

Я конечно не админ, но скажу так:
1) exec и подобные ф-ции не всегда нужно отключать, но их нужно контролировать. Для этого и писался этот экстеншен. В дальнейшем планируется система правил. Какие-то вызовы можно разрешить, какие-то запретить вообще и т.п.
2) Вахтер не замена для mod_security, но очень ему помогает. Дыру можно прикрыть с помощью mod_security, но с помощью вахтера можно быстрее ее обнаружить и увидеть что шелл успел натворить в системе…

zvirusz 16 сентября 2009, 13:56 # ↑

1. зачем же так категорично? выше уже писали про imagemagic
2. не апачем единым, для nginx «ничего подобного нет и не предвидится»
Да и не всегда php-shell'ы используют во зло, вы не поверите.

DevArt 16 сентября 2009, 14:03 # ↑

Ну в том же творении товарища Сысоева, не столь давно была найдена дырка, которая кстати анонсировалась на Хабрахабр. Это. к сожалению в очередной раз доказывает мерзкую и противную аксиому «что один написал — другой может сломать» :)

kastigar 16 сентября 2009, 13:47 #

Есть мысль написать статью про вахтер со стороны программиста. Конечно сроки я не знаю, но могу постараться.

bSun 16 сентября 2009, 15:03 #

pcntl_exec забыли. Еще подргузку библиотек придется отрубить (если не ошибаюсь, то ваш модуль не залогирует системные вызовы из подгруженной либы), а так же функции get_loaded_extensions, ini_get_all, phpinfo, ибо они могут скомпрометировать путь до логов

bSun 16 сентября 2009, 15:11 # ↑

пардон, popen и proc_open забыл.

kastigar 16 сентября 2009, 15:33 # ↑

Я знаю про все эти ф-ции, просто еще не успел их заимплементить. Хотя там даже ничего сложного, за исключением pcntl_exec.
Вот про загрузку сторонних либ я не подумал, хотя насколько мне известно, просто так библиотеку трудно подключить, она должна лежать в папке с экстеншенами, куда без рута очень трудно положить файл (если система корректно настроена).

l0rda 16 сентября 2009, 17:11 # ↑

не совсем так, когда php работает как модуль апача и в конфиге по-умолчанию:
enable_dl = On
extension_dir = "./"

то возможно подгрузить экстеншен динамически.

С динамической загрузкой, возможно игнорировать все open_basedir ограничения

unxed 16 сентября 2009, 15:57 #

Еще нужно ловить copy, unlink и все-все-все, что работает с файлами, т.к. вместо имен файлов могуть быть вызовы системных команд. И доступ к unix-сокетам через fsockopen — тоже сомнительная деятельность. И наверняка еще можно придумать варианты.

kastigar 16 сентября 2009, 19:11 # ↑

Что значит вызовы системных команд? Вы имеете ввиду бинарные файлы? И что? Максимум это их можно скопировать или прочитать. Ну и удалить, если прав хватит, а прав хватит в некорректно настроенной системе )
Про сокеты — ничего толкового сказать не могу, нужно исследовать…

unxed 16 сентября 2009, 20:21 # ↑

Пардон, перепутал с перлом, в котором можно делать так:
open(PASS, «sort -n -t: +3 -4 +0 /etc/passwd|»);

WGH 16 сентября 2009, 18:21 #

т.к. вместо имен файлов могуть быть вызовы системных команд.

И вызов действительно произойдет? А в остальном согласен.

WGH 16 сентября 2009, 18:23 # ↑

ой, промазал

unxed 16 сентября 2009, 20:22 # ↑

Вроде как, все-таки, нет. Ошбися. см. ответ выше.

shalb 18 сентября 2009, 01:06 #

Гм, както не системненько, рвать зад, кодить подпорку, когда велосипед уже придуман:
ua.php.net/manual/en/features.safe-mode.functions.php
А нужно бинари — так покласть их куда нужно и позволить кому нужно.

br0ziliy 18 сентября 2009, 12:08 # ↑

Прочитайте выше, safe_mode не всегда подходит.

l0rda 19 сентября 2009, 00:57 #

Мне данная софтина уже помогла. Так что я сделал сборки пакетов для CentOS 5 (i386 и x86_64), качать можно тут: rpm.l0rda.biz/CentOS/5/RPMS/
ключик: rpm.l0rda.biz/L0RDA-KEY

br0ziliy 20 сентября 2009, 19:05 # ↑

Спасибо! Обновил топик.

А под какую версию ПХП сборку сделали?

l0rda 21 сентября 2009, 02:09 # ↑

в CentOS стандартный 5.1.6 сейчас

l0rda 25 сентября 2009, 11:15 # ↑

привет,

а измени плз ссылку в посте, чтобы не на рпм указывала, а на папку с ним, а то там уже апдейт был, и еще один будет на днях и ссылка изменилась

br0ziliy 25 сентября 2009, 14:02 # ↑

сделал

br0ziliy 25 сентября 2009, 14:03 # ↑

а что за апдейты?

l0rda 25 сентября 2009, 21:49 # ↑

в версии 0.1.0-3 сделана жесткая зависимость от версии php
в версии 0.1.0-4 будет добавлен скрипт для logrotate, чтобы все было совсем красиво

а у вас там апдейтов не предвидится на основании изложенного в комментах этого топика?

br0ziliy 26 сентября 2009, 10:42 # ↑

AFAIK нет, разработка приостановлена по причине нехватки времени — коммерческими проектами занимаемся пока, на лето зарабатываем :)

l0rda 21 сентября 2009, 02:24 #

в следующей версии сделаю жесткие зависимости к версии php

Antispammer 28 февраля 2012, 03:30 #

круто, спасибо за полезный модуль)

BTW:

«Среди опасных, есть еще функция proc_open, чтобы ее перехватывать, нужно добавить в файл baxtep.c строчку:

1
php_baxtep_substitute_function(»proc_open" TSRMLS_CC);
и пересобрать/переподгрузить модуль." ©netspider.com.ua
bit.ly/z7bGGZ