Chống shell ??? - .:: HVAOnline ::.

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Chống shell ???

[Question] Chống shell ???	28/02/2008 06:42:00 (+0700) \| #1 \| 116993

khigiadano
Member

Joined: 27/02/2008 18:20:56
Messages: 370
Location: http://aspx.vn
Offline

Mình có cái HOST đang xài mà thằng bạn muốn xin ké vài trăm MB để upload nhưng mình sợ nó up shell thì toi cả HOST

Mình đã thử create 1 FTP mới truy cập tới 1 folder con sau đó login rồi up thử shell lên thì nó có thể nhảy ra tới ROOT đc
Vậy có cách nào share FTP mà chống đc shell ko ??
Giúp mình với ??

Yahoo ID: khigiadano - Tel: 0907.870.676 - Email: khigiadano@gmail.com
Mình rất kém, vào đây học hỏi kinh nghiệm thôi...

[Question] Re: Chống shell ???	28/02/2008 06:47:19 (+0700) \| #2 \| 116995

gamma95
Researcher

Joined: 20/05/2003 07:15:41
Messages: 1377
Location: aaa">
Offline

bạn bè mà chơi đểu thế thì khỏi share smilie

Cánh chym không mỏi
lol

[Question] Chống shell ???	28/02/2008 07:20:46 (+0700) \| #3 \| 117001

Phó Hồng Tuyết
Member

Joined: 20/04/2007 20:02:10
Messages: 275
Location: Nơi Sâu Thẳm Tâm Hồn
Offline

khigiadano wrote:

Mình có cái HOST đang xài mà thằng bạn muốn xin ké vài trăm MB để upload nhưng mình sợ nó up shell thì toi cả HOST

Mình đã thử create 1 FTP mới truy cập tới 1 folder con sau đó login rồi up thử shell lên thì nó có thể nhảy ra tới ROOT đc
Vậy có cách nào share FTP mà chống đc shell ko ??
Giúp mình với ??

bạn có thể cho biết chi tiết hơn không.
1. host bạn là windows hay linux.
2. host bạn hỗ trợ php.ini không.
3. cấu trúc của host bạn theo hàng ngang hay dọc khi áp dụng .htaccess.
4. host của bạn có hỗ trợ anti rootkit không ( hoặc các PM anti không ).
5. host bạn có hỗ trợ chmod ( 0701 va 0101 ) không.

nếu các host bạn hỗ trợ như trên thì có khả năng chống shell được. ( khoảng 70% thôi ).

một chút gợi ý cho bạn .

các file shell c99 và r57 thường sử dụng .php.xxx ( với xxx có thể là định dạng file bất kỳ )
các shell dạng .pl và .cgi và .js( mới ) thì hầu như không có biến dạng.
ở thu mục upload. dùng .htaccess chỉ cho phép download.

....

"Một người thành công không có ý nghĩ đổ thừa thất bại do ...."

[Question] Re: Chống shell ???	28/02/2008 07:27:01 (+0700) \| #4 \| 117003

khigiadano
Member

Joined: 27/02/2008 18:20:56
Messages: 370
Location: http://aspx.vn
Offline

bạn có thể cho biết chi tiết hơn không.
1. host bạn là windows hay linux. - Operating system Linux
2. host bạn hỗ trợ php.ini không. - mình ko rõ, phải xem ở đâu
3. cấu trúc của host bạn theo hàng ngang hay dọc khi áp dụng .htaccess. - cái này mù tịt
4. host của bạn có hỗ trợ anti rootkit không ( hoặc các PM anti không ). - cũng ko biết xem chỗ nào
5. host bạn có hỗ trợ chmod ( 0701 va 0101 ) không. - cũng ko biết, phải xem ở đâu ??

Mình đã thử đưa 1 chú C99 lên thì nó chạy khí thế luôn, ko gì cản đc
Mình chỉ đề phòng lở bạn mình up shell chứ chưa biết chắc đc
nếu các host bạn hỗ trợ như trên thì có khả năng chống shell được. ( khoảng 70% thôi ).

một chút gợi ý cho bạn .

các file shell c99 và r57 thường sử dụng .php.xxx ( với xxx có thể là định dạng file bất kỳ )
các shell dạng .pl và .cgi và .js( mới ) thì hầu như không có biến dạng.
ở thu mục upload. dùng .htaccess chỉ cho phép download.

....

Yahoo ID: khigiadano - Tel: 0907.870.676 - Email: khigiadano@gmail.com
Mình rất kém, vào đây học hỏi kinh nghiệm thôi...

[Question] Re: Chống shell ???	09/03/2008 23:47:35 (+0700) \| #5 \| 118697

khigiadano
Member

Joined: 27/02/2008 18:20:56
Messages: 370
Location: http://aspx.vn
Offline

Có cách nào để dò tìm shell trên host của mình ko ???

Yahoo ID: khigiadano - Tel: 0907.870.676 - Email: khigiadano@gmail.com
Mình rất kém, vào đây học hỏi kinh nghiệm thôi...

[Question] Re: Chống shell ???	10/03/2008 08:45:57 (+0700) \| #6 \| 118751

Ikut3
Elite Member

Joined: 24/09/2007 23:47:03
Messages: 1429
Location: Nhà hát lớn
Offline

khigiadano wrote:

Có cách nào để dò tìm shell trên host của mình ko ???

đại ka để chữ nhỏ nhỏ và màu sắc cho phù hợp giúp nhà iem cái smilie

Giả sử khi mình chuẩn bị upload source forums VBB chẳng hạn lên host thì mình có thể dùng 1 chương trình quét virus nào đấy để kiểm tra thử xem trong đấy có trojan v.v... gì kô .Đó là những file đáng nghi ngờ

Từ đó có thể suy ra cách kiếm shell trên host .Nhưng nói thật nếu host mà đã sơ hở để bị upload shell lên rồi thì cũng khó mà kiếm ra đấy.Đụng phải attcker tay cao nữa thì smilie

[Question] Re: Chống shell ???	10/03/2008 21:42:00 (+0700) \| #7 \| 118792

Phó Hồng Tuyết
Member

Joined: 20/04/2007 20:02:10
Messages: 275
Location: Nơi Sâu Thẳm Tâm Hồn
Offline

khigiadano wrote:

[size=+1]Có cách nào để dò tìm shell trên host của mình ko ???

đối với shell thì có vô vàn cách cài, tử noob cho đến pro. từ bug đến soure hoặc skin or templ mà bạn sử dụng. không có cách nào có thể 100% kiểm soát được shell. nếu làm được như vậy ( có rất nhiều vấn đề đi theo nó cần giải quyết ).
vài lời khuyên đến bạn.
soure bạn sử dụng phải có nguồn gốc rõ ràng.
skin, templ cũng vậy.
các file cho up lên forum cần được hạn chế ở kích thước files.
các file nhạy cảm nên chm 400 và decode nó ( trường hợp khi cài shell thành công sẽ đọc được data của bạn ).
nói chung ý thức của bạn về shell sẽ giúp bạn khoảng 50% trong việc cài và chống shell.
ngoài ra cũng nên tham khảo host của bạn đang sử dụng.

nếu nói về shell có thể nói cả ngày cũng chưa hết. shell bây giời có khoảng 59 shell, phổ biến thì có 4 dạng, shell dành cho pro thì có khoảng 3 shell. với shell này ngay cả check point ( Check Point™ FireWall-1® - anti bản mới nhất vẫn không quét ra. ) - đã test tên server của mình . quét với thời gian thực ( ftp, http ) vẫn không phát hiện ra.

"Một người thành công không có ý nghĩ đổ thừa thất bại do ...."

[Question] Re: Chống shell ???	10/03/2008 22:05:44 (+0700) \| #8 \| 118794

subnetwork
Member

Joined: 05/09/2004 06:08:09
Messages: 1666
Offline

Đối với server có sử dụng PHP thì nên kiểm tra disable_function sau đó cấu hình cho phù hợp để cho tụi upload shell "cùi bắp" rụng lông ... chân luôn . smilie

Quản lý máy chủ, cài đặt, tư vấn, thiết kế, bảo mật hệ thống máy chủ dùng *nix
http://chamsocmaychu.com

[Question] Re: Chống shell ???	11/03/2008 05:35:19 (+0700) \| #9 \| 118857

TCL
Member

Joined: 25/07/2006 17:25:41
Messages: 8
Offline

Ông anh có thể nói rõ hơn được không trong php của em thì

disable_function=

Bị up con r57 lên là bị liền . Cũng đang tìm xem họ làm cách nào mà đưa lên được .
- FTP (proftpd 1.3.1)
- Directadmin
Bác nào biết chỉ dùm em với nhé
smilie

[Question] Re: Chống shell ???	11/03/2008 07:58:29 (+0700) \| #10 \| 118870

phstiger
Member

Joined: 23/01/2007 17:47:26
Messages: 261
Offline

Theo mình thì server thường disable_function các hàm quan trọng ví dụ như (mình thường thấy) là:

Disable functions : passthru, system, shell_exec, exec, proc_open, proc_close, popen, fileperms, shell, getphpcfg, deltree, escapeshellarg, escapeshellcmd

Và Safe Mode=On.
chmod các file-folder quan trọng.

TCL wrote:

Bị up con r57 lên là bị liền . Cũng đang tìm xem họ làm cách nào mà đưa lên được .

Thường thì do lỗi của ứng dụng web.

[Question] Re: Chống shell ???	11/03/2008 11:05:10 (+0700) \| #11 \| 118887

gamma95
Researcher

Joined: 20/05/2003 07:15:41
Messages: 1377
Location: aaa">
Offline

Về nguyên tắc thì các server ko được disable bất cứ function nào hết smilie

. Vì việc disable các function có thể bị ảnh hưởng đến các ứng dụng mà khách hàng chạy trên server đó. Nên việc chống shell = cách disable function khiến khách hàng có thể gặp trục trặc ở một số trường hợp ... smilie

Cánh chym không mỏi
lol

[Question] Re: Chống shell ???	11/03/2008 11:41:03 (+0700) \| #12 \| 118893

subnetwork
Member

Joined: 05/09/2004 06:08:09
Messages: 1666
Offline

gamma95 wrote:

Về nguyên tắc thì các server ko được disable bất cứ function nào hết . Vì việc disable các function có thể bị ảnh hưởng đến các ứng dụng mà khách hàng chạy trên server đó. Nên việc chống shell = cách disable function khiến khách hàng có thể gặp trục trặc ở một số trường hợp ...

Điều này hoàn toàn đúng smilie

Trong trường hợp của gà mờ thì ta nên sử dụng open_basedir có thể cách này chống được shell hoặc tham khảo nguồn từ đây http://www.securityfocus.com/infocus/1706

Anh em có ý kiến khác thì xin gởi bài lên thảo luận về vấn đề này tiếp tục smilie

Quản lý máy chủ, cài đặt, tư vấn, thiết kế, bảo mật hệ thống máy chủ dùng *nix
http://chamsocmaychu.com

[Question] Re: Chống shell ???	11/03/2008 12:53:39 (+0700) \| #13 \| 118901

nbthanh
HVA Friend

Joined: 21/12/2001 14:51:51
Messages: 429
Offline

Một hồi rồi tự nhiên sang bảo mật PHP. Không lẽ trên đời này chỉ có mình PHP là viết được shell?

[Question] Re: Chống shell ???	12/03/2008 06:10:28 (+0700) \| #14 \| 118997

FaL
Moderator

Joined: 14/04/2006 09:31:18
Messages: 1232
Offline

Upload shell lên mà không execute được thì đâu có ảnh hưởng gì đâu nhỉ?

Hãy giữ một trái tim nóng và một cái đầu lạnh

[Question] Re: Chống shell ???	12/03/2008 21:15:54 (+0700) \| #15 \| 119077

Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline

nbthanh wrote:

Một hồi rồi tự nhiên sang bảo mật PHP. Không lẽ trên đời này chỉ có mình PHP là viết được shell?

Hì hì, chính xác anh nbthanh.

Gửi khigiadano,

Bạn share bằng ftp thì nên tìm cách khóa chặt lại FTP thay vì lo việc shell siếc chi cho mệt.

khoai

[Question] Re: Chống shell ???	12/03/2008 23:41:52 (+0700) \| #16 \| 119097

FaL
Moderator

Joined: 14/04/2006 09:31:18
Messages: 1232
Offline

@Khoai:

FaL nghĩ không chỉ ftp không thôi đâu, vì trên kia đã bảo là "thử 1 con shell" -> nhảy luôn tới root smilie

.

@khigiadano:
Về căn bản thì khi shell được execute nó sẽ dùng quyền của web-user hiện tại để thực thi, ở đây là www. Thứ nữa, ngăn shell trước hết nên ngăn execute tại thư mục đó. ko execute được thì shell chẳng khác gì 1 file bình thường.

Hãy giữ một trái tim nóng và một cái đầu lạnh

[Question] Re: Chống shell ???	13/03/2008 15:51:59 (+0700) \| #17 \| 119208

Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline

anh FaL,

Em có đọc qua đoạn đó, nhưng khigiadano chỉ đề cập đến việc share vài trăm MB để chứa dữ liệu. Vậy, cần gì enable web server, server side scripts, vân vân. Không có các thứ đó thì khỏi lo shell luôn smilie

Nếu đã cho phép user upload và chạy server side script thì không có cách nào chống shell cả, mà chỉ có cách giới hạn lại ảnh hưởng của shell cho user mà thôi: Ví dụ như chroot webserver, hoặc siết chặt permissions trên server.

khoai

[Question] Re: Chống shell ???	13/03/2008 16:33:05 (+0700) \| #18 \| 119211

FaL
Moderator

Joined: 14/04/2006 09:31:18
Messages: 1232
Offline

Quả thật là FaL đang muốn bàn về vấn đề này một chút. Bây giờ cứ giả sử ứng dụng web cho phép upload file (file này sẽ không bị mổ xẻ gì hết), và đường dẫn file lên host bị lộ. Khi đó có thể ngăn được execute shell không? chroot cho thằng www ở đây có vẻ như không hợp lý lắm? smilie

Còn việc chuyển execute sang plaintext hết thì sao? - Nghĩa là với request hxxp://domain.com/upload/shell.xxx sẽ trả về nội dung của chỉnh shell.xxx. Làm vậy có ngăn được không?

Hãy giữ một trái tim nóng và một cái đầu lạnh

[Question] Re: Chống shell ???	14/03/2008 22:58:32 (+0700) \| #19 \| 119320

Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline

FaL wrote:

Quả thật là FaL đang muốn bàn về vấn đề này một chút. Bây giờ cứ giả sử ứng dụng web cho phép upload file (file này sẽ không bị mổ xẻ gì hết), và đường dẫn file lên host bị lộ. Khi đó có thể ngăn được execute shell không? chroot cho thằng www ở đây có vẻ như không hợp lý lắm? Còn việc chuyển execute sang plaintext hết thì sao? - Nghĩa là với request hxxp://domain.com/upload/shell.xxx sẽ trả về nội dung của chỉnh shell.xxx. Làm vậy có ngăn được không?

Anh FaL,

Việc chroot cho webserver chỉ nhầm hạn chế ảnh hưởng của Shell mà thôi.

Còn cách convert lại file upload thì không đơn giản đâu. Chính hàm cho phép upload phải convert file đó sang một "loại" file khác. Hoặc, anh có thể không cho phép truy cập trực tiếp đến upload folder từ bên ngoài mà phải thông qua một webserver tool, kiểu như: http://site.com/getfile.xxx?fn=shell.xxx.

khoai

[Question] Re: Chống shell ???	14/03/2008 23:07:44 (+0700) \| #20 \| 119324

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

FaL wrote:

Quả thật là FaL đang muốn bàn về vấn đề này một chút. Bây giờ cứ giả sử ứng dụng web cho phép upload file (file này sẽ không bị mổ xẻ gì hết), và đường dẫn file lên host bị lộ. Khi đó có thể ngăn được execute shell không? chroot cho thằng www ở đây có vẻ như không hợp lý lắm? Còn việc chuyển execute sang plaintext hết thì sao? - Nghĩa là với request hxxp://domain.com/upload/shell.xxx sẽ trả về nội dung của chỉnh shell.xxx. Làm vậy có ngăn được không?

web-based "shell" viết bằng php, perl, asp, python, ruby.... đều là plain text cả đấy chứ em. Vấn đề quan trọng là web service có cho chúng thực thi (dựa trên mime type) hay không thôi. Ví dụ, web service đó cho phép cái gì thuộc về php là chạy ráo thì không có cái gì có thể cản được ngoại trừ dùng một thứ application level firewall như mod_security để cho phép cụ thể các *.php nào đó được nhận request, số còn lại... đòm đòm.

Thân.

What bringing us together is stronger than what pulling us apart.

[Question] Re: Chống shell ???	15/03/2008 01:15:22 (+0700) \| #21 \| 119341

canh_nguyen
Elite Member

Joined: 23/08/2004 18:55:09
Messages: 775
Location: Broken dream
Offline

Mr.Khoai wrote:

Anh FaL,

Việc chroot cho webserver chỉ nhầm hạn chế ảnh hưởng của Shell mà thôi.

Còn cách convert lại file upload thì không đơn giản đâu. Chính hàm cho phép upload phải convert file đó sang một "loại" file khác. Hoặc, anh có thể không cho phép truy cập trực tiếp đến upload folder từ bên ngoài mà phải thông qua một webserver tool, kiểu như: http://site.com/getfile.xxx?fn=shell.xxx.

khoai

Theo mình hiểu thì ý FAL không phải là convert mà sẽ thiết đặt cho folder upload đó không thực thi các dòng code trong file, mà chỉ đọc file đó dạng text.

[Question] Re: Chống shell ???	15/03/2008 02:13:07 (+0700) \| #22 \| 119351

FaL
Moderator

Joined: 14/04/2006 09:31:18
Messages: 1232
Offline

conmale wrote:

FaL wrote:

Quả thật là FaL đang muốn bàn về vấn đề này một chút. Bây giờ cứ giả sử ứng dụng web cho phép upload file (file này sẽ không bị mổ xẻ gì hết), và đường dẫn file lên host bị lộ. Khi đó có thể ngăn được execute shell không? chroot cho thằng www ở đây có vẻ như không hợp lý lắm? Còn việc chuyển execute sang plaintext hết thì sao? - Nghĩa là với request hxxp://domain.com/upload/shell.xxx sẽ trả về nội dung của chỉnh shell.xxx. Làm vậy có ngăn được không?

web-based "shell" viết bằng php, perl, asp, python, ruby.... đều là plain text cả đấy chứ em. Vấn đề quan trọng là web service có cho chúng thực thi (dựa trên mime type) hay không thôi. Ví dụ, web service đó cho phép cái gì thuộc về php là chạy ráo thì không có cái gì có thể cản được ngoại trừ dùng một thứ application level firewall như mod_security để cho phép cụ thể các *.php nào đó được nhận request, số còn lại... đòm đòm.

Thân.

Chính là em làm cách này đó anh. Nghĩa là em cho 1 thằng .htaccess/ mod security (em chưa rành mod này lắm, mới thử trên .htaccess, thấy ok) vào chính thư mục chứa file upload đó, overide cái module mime. Không cho nó thực thi bất kỳ file nào. Khi attacker request những file này trên browser sẽ trả về nguyên dạng plaintext của nó. Tuy nhiên nghe Mr.Khoai nói em cũng cảm thấy hơi ... run, không biết còn mẹo nào execute nữa không.

@Mr.Khoai: hì, mình có nói là không đụng chạm, convert file gì ráo. Chỉ ngăn ko cho execute thôi.
@canh_nguyen: hiểu ý ghê nhỉ smilie

Hãy giữ một trái tim nóng và một cái đầu lạnh

[Question] Re: Chống shell ???	29/03/2008 00:54:28 (+0700) \| #23 \| 121763

Phó Hồng Tuyết
Member

Joined: 20/04/2007 20:02:10
Messages: 275
Location: Nơi Sâu Thẳm Tâm Hồn
Offline

theo kinh nghiệm bản thân em thì em có một số ý kiến thế này.
đối với Dedicated host sử dụng os Linux .
1. cấu hình như các anh đã nói ở trên ( safe_mode=On ( nếu thấy cần thiết ) disable_fuction, chmod, ... ),
2. sử dụng cmd cron run các chrookit, các soft antivirus, ( khoảng 15' một lần quét )
3. cấu hình modul Secure cho thật cứng.
4. sử dụng files .htaccess chỉ cho chạy những files trên host.
Code:

order allow,deny
<Files ~ "\.(php.xxx|asp|php|sphp|php3|php4|php5|phtml|cgi|pl|shtml|dhtml|js|txt|htaccess|exe|dat|html)$">
deny from all
</files>
<files index.php> ( các files tren webhost của bạn )
allow from all
</files>
..........
với cách này thì chỉ sợ upload shell bằng FTP. wget, ...

5. bạn nên sử dụng anti virus Getaway hỗ trợ quét với thời gian thực. ( FTP, HTTP )
6. sử dụng .htaccess limit GET, POST các folder , các folder chứa các files download chỉ cho phép download không cho phép run script.
7. đối với Plesk 8.3.0 có hỗ trợ domain seting safe_mode. ( bạn có thể disable_fuction=on ở server nhưng safe_mode=off cho domain được ) ( hiện mình đang xài Plesk 8.3.0 + PHP 6.0)
Đối với Dedicated host sử dụng OS Windows và share hosting unix, win. Mình chưa có kinh nghiệm thực tế !
mong rằng các mod có thể bàn thêm về vấn đề này nhiều hơn !

"Một người thành công không có ý nghĩ đổ thừa thất bại do ...."

[Question] Re: Chống shell ???	30/03/2008 05:24:46 (+0700) \| #24 \| 122008

subnetwork
Member

Joined: 05/09/2004 06:08:09
Messages: 1666
Offline

hackercoder wrote:

7. đối với Plesk 8.3.0 có hỗ trợ domain seting safe_mode. ( bạn có thể disable_fuction=on ở server nhưng safe_mode=off cho domain được ) ( hiện mình đang xài Plesk 8.3.0 + PHP 6.0)

PHP hiện giờ "ra lò" phiên bản 5.2.5 , làm gì có phiên bản 6.0 nhĩ ?

Quản lý máy chủ, cài đặt, tư vấn, thiết kế, bảo mật hệ thống máy chủ dùng *nix
http://chamsocmaychu.com

[Question] Re: Chống shell ???	30/03/2008 06:05:54 (+0700) \| #25 \| 122016

Phó Hồng Tuyết
Member

Joined: 20/04/2007 20:02:10
Messages: 275
Location: Nơi Sâu Thẳm Tâm Hồn
Offline

bản không chính thứ 6.0 smilie

!
mình cũng chẳng biết nói sao nữa mình download về rồi giải nén nó và paster vào thư mục php.
mình download nó ở link này.
http://snaps.php.net/win32/php6.0-win32-200803290630.zip

"Một người thành công không có ý nghĩ đổ thừa thất bại do ...."

Go to:

Users currently in here
1 Anonymous