Cty mình là một cty nhỏ. Mình thì không biết gì về bảo mật, mà cty thì dự định cho chạy website trên server windown 2003 với apache. Mình mong các pác tư vấn mình về bảo mật. Mình cần phải bắt đầu từ đâu và cần nghiên cứu những gì. Cảm ơn các pác trước. 

Em hiểu thế nào với cái thông báo này?

MaxClients of 256 exceeds ServerLimit value of 100 servers, lowering MaxClients to 100. To increase, please see the erverLimit directive 

 

c thử up con cgi.pl , chmod 755, nếu chạy được thì chỉ có nó nữa thôi , mình hết cách rồi, vẫn còn gà  

mình không dám hohe gì cả , các bạn khác vào giúp đi chứ
còn nói là để bắt bạn chmod cho nó chạy thì có vẻ đang đi lạc đề mất rồi,

công nhận cái kiểu này như kiểu để chạy html ấy (vps riêng có khác )
Code:

Disable functions : exec, pcntl_exec, putenv, virtual, +, show_source, disk_free_space, diskfreespace, leak, tmpfile, phpinfo, curl_multi_exec, posix ,chgrp ,mkdir,chmod,lynx,symlink,readlink,wget,chown, posix, _getppid, apache_child_terminate, apache_setenv, define_syslog_variables, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_get_all, ini_restore, inject_code, mysql_pconnect, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, proc_close, proc_get_status, proc_nice, proc_open, shell_exec, syslog, system, xmlrpc_entity_decode, proc_terminate, popen, pclose, set_time_limit, ini_alter, openlog, escapeshellcmd, escapeshellarg, dl, curl_exec, safe_mode_include_dir, eval, mail, open_basedir, cat, posix_ctermid, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_isatty, posix_kill, posix_mkfifo, posix_setegid, posix_seteuid, posix_setgid, posix_setpgid, posix_setsid, posix_setuid, posix_times, posix_uname
Uname -a:
Server: - id: 0(root) - uid=0 (root) gid=0(root)

, hết ý kiến ^^ 

nói vậy chắc bạn bên quản trị mạng, cày chuyên sâu hay sao vậy
mình thì chỉ biết hướng là như vậy thôi, đây là file byg.php
Code:

http://tinypaste.com/356f8

pass shell là byg
nhưng nếu như bạn nói, bạn cài mặc định 404 rồi thì mình chỉ biết đến vậy thôi, bó tay
vì set 404 như vậy làm sao mà run được, có chăng như bạn trên nói, cũng chỉ dừng ở mức cưỡi ngựa xem hoa  

https://199.180.131.5/byg.php

À mình chưa nói thêm, hôm qua khi mà truy cập link shell bạn gửi thì mình thấy nó cũng chỉ read-only. Không edit được file shell của bạn.

Nếu bạn upload bằng chính owner của site và chmod read-only thì mỗi lần bạn muốn sửa file, bạn lại phải chmod lại cho file đó có quyền ghi như vậy thì bất tiện quá.

Hơn nữa con shell bạn up lên sử dụng GET method, nên các command đều hiển thị trên URL, và bạn có thể ngăn chặn các command này một cách dễ dàng. Bạn đưa 1 con shell mà attacker không thể có cơ hội nào khác ngoài nhìn shell và ngó , tí toáy 1 chút ....

Cá nhân mình nghĩ, nếu bạn cho rằng mình đang bảo mật server thì cách bạn làm trong trường hợp này là rất "cực đoan" lolz

P/S: link shell đã không còn truy cập được. 

199.180.131.5

https://199.180.131.5/shell.php

thử đặt trường hợp, attacker up được shell qua jooomla mà bạn setup ở trang chủ, và chính bạn hãy làm điều đó, rồi đưa link để mọi người cùng thử
và nên dùng thử con byg chẳng hạn hoặc r57 newest ....  

/soft/apache/htdocs/ d--x-----x

Như vậy bạn mong muốn gì từ attacker với cái folder chmod như trên? 

Mình vẫn không hiểu thực sự bạn muốn mọi người "HACK" cái gì ? ( trong câu này : "nếu mọi người thích hack với mã nguồn khác thì cứ đề nghị")
Lỗ hổng bảo mật thì có nhiều loại, sơ hở của webmaster, lỗi service, lỗ hổng trong source webapp bạn sử dụng.

Vậy tớ đề nghị bạn giữ lại file INSTALL.php của joomla hay giữ lại PASS MẶC ĐỊNH của tài khoản admin thì sao ?
Hoặc là theo như bạn nói, ĐỀ NGHỊ với mã nguồn khác. Tớ đề nghị bạn cài 1 mã nguồn CÓ SẴN LỖ HỔNG để rồi cho tớ "HACK" sao ?

Thay vì bạn cứ nhờ người khác "hack dùm", mình thấy bạn bỏ chút thời gian vào những trang cung cấp exploit để có thể thường xuyên cập nhật những lỗi mới nhất và xem trong đống Services, Source bạn sử dụng có bị dính lỗi bảo mật nào không !

1337day.com
exploit-db.com
...
 

 

Có ma nó mới tin server của ông bị DDoS gì đó , tui nhớ có 1 bài trên HVA, bài đó tên cúng cơm của nó dường như là kỹ năng phân tích, phát hiện sự cố do anh conmale và anh em cùng nhau tranh luận cách đây vài năm, bro đọc lại thử xem, đâu phải server, network,...bị vấn đề là la làng là server của mình đang bị người khác quậy .

Làm công tác quản trị mạng, chuyên gia, bảo mật, người dùng....mạng nhỏ hay mạng lớn không thể nào xem bằng mắt thường để ngồi đoán mò nó được cả.

Vài ý kiến góp ý nhận xét cá nhân 

server của bạn không biết là vps hay server thực
nếu server thực có thể cho mình một user account log vào ssh được không?
Mình đang cần phần cứng để làm LFS  

server của bạn chỉ mở mỗi một port thôi nhưng hình như đang bị dos 

Liệu có phải quăng boom? 

mục đích của bạn là gì nhỉ.... 

chào bạn ! . hack thì tôi không biết nhưng tôi rất muốn tạo 1 website như của bạn . tôi vừa mới học vi tính nên có nhiều thứ không biết bạn có thể hướng dẫn chi tiết cho tôi được không . nick yahoo của tôi là lucky_star1310. cám ơn bạn nhiều 

Bồ thử chạy:

pmap -x `ps -ef | grep httpd | grep root | awk '{print$1}'`

và:
ulimit -a

và đưa kết quả lên coi?


Nên nhớ, mpm worker chạy multiple threads trong mỗi process. Nếu bồ ấn định quá nhiều workers trong httpd.conf thì tất nhiên VIRT size sẽ lớn. Đó là chưa kể mỗi process của mpm worker đang chạy trên server của bồ còn chứa hàng đống private data và ThreadStackSize bự tổ chảng thì chuyện VIRT size lớn là chuyện bình thường. Trong khi đó, mpm prefork thì cứ mỗi process hoàn toàn tách rời và được dùng để xử lý mỗi request nên VIRT của mỗi mpm prefork nhỏ hơn hơn bù lại, để phục vụ nhiều requests thì mpm prefork phải tạo nhiều processes--> tổng số memory sẽ lớn hơn mpm worker gấp nhiều lần. Tất nhiên, nếu bồ dùng php trên apache thì chỉ nên dùng mpm prefork (và đây cũng chính là hạn chế rất lớn khi sử dụng php để tạo web-app). 

khang0001 wrote:

tiêu đề em đã nhầm lẫn giữa khái niệm ram ảo và ram vật lý, thật ra là apache chiếm đến hơn 800 mb ram ảo. còn ram thật thì không bao nhiêu. vậy có cách nào để giảm số ram ảo mà apache đã dùng xuống không anh conmale 

Không có khái niệm "Ram ảo". RAM là Random Access Memory và RAM không có ảo. Chỉ có Virtual Memory chớ không có Virtual RAM.

Cách em compile apache là cách em compile hết tất cả mọi thứ, mọi modules cho nên nó mới nuốt nhiềm memory như vậy. Trang apache có chỉ dẫn rất cụ thể chức năng từng module và luôn cả cách configure cái gì để build cái gì. Một lần nữa, em lại bỏ ngang tài liệu và làm mò rồi tiếp tục thắc mắc mà không buồn đọc tài liệu. Nếu cứ tư duy và có thói quen như thế này, càng lúc em sẽ càng bế tắc. 

./configure --prefix=/apache --with-mpm=worker --disable-actions --disable-alias --disable-asis --disable-autoindex --disable-cgi --disable-cgid --disable-charset-lite --disable-env --disable-imagemap --disable-include --disable-negotiation --disable-status --disable-userdir --disable-authz-groupfile --disable-authn-default --disable-authz-default --enable-deflate --enable-rewrite --enable-ssl --enable-unique-id --enable-so --disable-version
make

./configure --prefix=/apache --with-mpm=worker

khang0001 wrote:

điều em thắc mắc là vì sao trên cùng 1 compile thì trên máy ảo phần viturl image chỉ tốn khoảng 50mb. còn trên vps thì lại hơn đến 800mb. em củng biết là mình còn kém nên đang nghiên cứu thêm .hizhiz
VIRT : The total amount of virtual memory used by the task. It includes all code, data and shared libraries plus pages that have been swapped out
- tổng số ram ảo dc dùng bởi tác vụ. bao gồm tất cả code , data và các thư viện share. đã được hoán đổi
RES : The non-swapped physical memory a task has used
- ram vật lý không hoán đổi đã được tác vụ dùng 

Chính xác! Vậy em hãy nhìn lại cái tiêu đề và nội dung bài đầu tiên em đặt ra.