[Folaani]

من اینقدر از امنیت لینوکس تعریف میکنم ولی این دفهء دوم هست که در عرض ایکی ثانیه با یه وبشل هک میکنم.
دفعهء اول کنترل پنل یک Reseller رو هک کردم که در نتیجه دسترسی کامل به هزار و اندی سایت ملت افتاد زیر دستم.
الان هم داشتم روی بحث پرمیشن و اینها که با دوست عزیز در تاپیک دیگه بحثش هست تست هایی روی هاست خودم انجام میدادم و یاد قدیما افتاده بودم که دوباره زرتی اکانت مردم رو هک کردم
این سرورهای لینوکس رو خیلی راحت میشه هک کرد. فقط در چند ثانیه بدون هیچ مشکلی. فقط با نصب یک نرم افزار بنام وبشل.
عجیب نیست؟
این کجاش امنیته؟
ببینید الان مثلا از اکانت یکی از کاربران روی سروری که روش هاست دارم خیلی راحت تمام آمارش رو درآوردم:

کد :

$mosConfig_password = '0937*******';

از درج شماره کامل موبایل مردم معذوریم؛ به همین خاطر بقیش رو ستاره گذاشتم!
معلومه براحتی میشه حداقل پسورد دیتابیس رو از داخل فایلهای پیکربندی درآورد.

آقا وضعیت امنیت خیلی از سرورها درحد صفره انگار
دو سه تا سرور در طول عمرمون داشتیم تا حالا دوتاش به ضایع ترین شکل هک شده.
تازه منکه اصلا هکر نیستم و قصد سوء استفاده نداشتم و ابزار دیگر خاصی که مخصوص هک باشه بکار نبردم.

من دیگه واقعا شک کردم بگم امنیت لینوکس بالاست.
چه وضعشه خدایی!!

[Folaani]

هاستینگ ایرانی هست. قبلا یه سرور توی آمریکا داشتن که هک کردم. بعدا احتمالا بخاطر تحریم منتقل کردن به یک سرور داخلی که پیکربندیش هم خیلی امنیتی تر شده بود ظاهرا، ولی نمیدونستم اینم حفرهء به این بزرگی داره و الان زرتی هک شد. در کمتر از 15 دقیقه. درواقع فهمیدم که این حفره ممکنه در بیشتر یا خیلی از سرورهای لینوکس موجود باشه.
نمیدونم شایدم اینا یطوری ناشی هستن که پیکربندی اشتباه میکنن. ولی جدا شک دارم که مگه این تنظیمات کلی و به عهدهء ادمین سرور نیست؟
هرکس اکانت روی سرور دیگه ای داره میتونه کمکی بکنه موقتی بهم قرض بده ببینم میتونم نفوذ کنم یا نه

اینجا روشش رو بنویسم و نرم افزارش رو بهتون بدم همتون میتونید در عرض یک ساعت اکانت دیگران رو هک کنید.
ولی شرمنده درست نیست این کار رو بکنم. فقط بگم کافیه با ساختار لینوکس آشنایی کافی داشته باشید و به خط فرمانش هم احاطه. دیگه تمومه. وبشل رو نصب میکنید و برو که رفتی!
شاید هم باید این رو بندازیم گردن پیکربندی سرورها و ادمین هاشون. ولی واقعا این پیکربندی وقتی در خیلی از سرورها درست و کامل انجام نشده فاجعه هست.
باید چیکار کنن؟ من نمیدونم. من از طریق وبشل که بصورت CGI اجرا میشه نفوذ کردم. نمیدونم میشه دسترسی CGI رو محدود کرد (یه چیزی مثل open_basedir در PHP) یا اینکه کلا باید غیرفعالش بکنن که نکردن.

حالا به نظرت اين تاپيك كه زدي مفيده يا مضر؟

سوراخ به این گنده ای رو نگی فکر کنم مضرتر باشه. چون اگر منکه هکر و دنبال این کارا نبودم اینطور راحت ازش رد شدم حتما خیلی از هکرها هم میدونن و دارن استفاده میکنن. دیگه کار از اون حرفا گذشته!!
البته جزییات روشش رو نمیگم به خاطر همین که احتمال داره منجر به فاجعهء عمومی بشه. ولی به کلیاتش بقدر کافی اشاره کردم که احتمالا آدم کاردان میتونه بفهمه جریان چیه.

[Folaani]

این تاپیک رو تازگی در فروم برنامه نویس ایجاد کردم: <!-- m --><a class="postlink" href="http://barnamenevis.org/showthread.php?288690">http://barnamenevis.org/showthread.php?288690</a><!-- m -->
الان داشتم تکنوتاکس رو میخوندم به ذهنم رسید که چه جایی بهتر از اینجا که لینوکس کاران که بعضا با سرور هم تجربهء حرفه ای دارن حضور دارن.
میخواستم نظر شما رو در اینمورد بدونم.
آیا سرورهای مورد نظر از نظر پیکربندی مشکل بزرگی داشتن که اینقدر راحت اکانت مردم رو با داشتن یک اکانت روی اونها میشه هک کرد؟ آیا مشکل به CGI یا تنظیمی از اون برمیگرده و باید چکار کرد تا جلوی دسترسی به اکانت دیگران گرفته بشه؟

[mah454]

همه چیز برمیگرده به PHP functions . و کنترل آن .
این هاست رو ببین :

کد :

www.000webhost.com

تازه رایگان هم هست !

[Flood]

شما که نگفتی مشکل چی بوده و چی کار کردی چطوری نظر می‌خوای که آیا مشکل از پیکربندیه یا چیز دیگه
به نظرم مشکل مثل همیشه به کارگیری افراد غیر متخصص هستش
به هر حال به نظرم باید روی سرور خرابکاری می‌کردی
کلا خرابکاری کردن خیلی هم مفیده
مثلا سونی رو نگاه کن از چپ و راست داره هک می‌شه
اما مطمئنا همین خرابکاری‌ها در آینده سرورهای سونی رو به یکی از امن‌ترین سرورهای دنیا تبدیل خواهد کرد

[MASoft]

مشکل تنها عدم تنظیم مجوزها به درستی هستش، و ربطی به امنیت لینوکس نداره!
یه اکانت ساختم که تست کنی، و برات فرستادمش

[Folaani]

خیلی ممنون جناب MASoft. واقعا لطف کردید. سخاوتمندانه بود!
روی هاست شما همین الان یه مقدار بررسی مقدماتی انجام دادم و ظاهرا امنه.
ولی ظاهرا PHP هاست شما بصورت CGI کار میکنه و من فکر میکنم این روش این امکان رو میده که پرمیشن ها رو دقیق و طوری که امنیت داشته باشه تنظیم کنیم و به همین خاطر امن شده. این روش از نظر امنیتی خیلی خوبه ولی دقیقا نمیدونم چرا همهء هاستها ازش استفاده نمیکنن و شاید محدودیتی در PHP ایجاد میکنه (خیلی وقت پیش انگار چیزایی در این ارتباط در منوال PHP دیده بودم) که این کار رو نمیکنن یا بخاطر پرفورمنس هست.

در اطلاعاتی که تابع phpinfo در هاست شما چاپ میکنه این هست:
Server API CGI/FastCGI
درحالیکه هاست من:
Server API Apache 2.0 Handler

خب من فکر میکنم استفاده از PHP بصورت یک ماجول آپاچی خیلی متداول باشه. بنابراین باید روی هاست هایی که PHP رو بصورت ماجول آپاچی اجرا میکنن تست کنیم و ببینیم میشه نفوذ کرد یا نه.
دقیقا مشکل فکر میکنم از همین نکته و روش اجرای PHP نشات میگیره. چون وقتی PHP بصورت ماجول آپاچی باشه برای تمام سایتها تحت کاربر apache اجرا میشه و این به یکسری محدودیت های جدی در امکان تنظیم پرمیشن ها منجر میشه که دیگه جزییاتش رو شرح نمیدم چون نمیخوام بصورت عمومی آموزش این کار رو داده باشم.

[Folaani]

همه چیز برمیگرده به PHP functions . و کنترل آن .
این هاست رو ببین :

کد :

www.000webhost.com

تازه رایگان هم هست !

اکانت های رایگان این سایت سرویس CGI نمیدن اونطور که در صفحهء اولش زده.
برای این حمله نیاز به امکان استفاده از CGI هست.
شرط دیگش هم فکر میکنم اینه که PHP بصورت ماجول آپاچی نصب شده باشه.

شما که نگفتی مشکل چی بوده و چی کار کردی چطوری نظر می‌خوای که آیا مشکل از پیکربندیه یا چیز دیگه

بخاطر این جزییاتش رو نگفتم چون نمیخوام آموزش عمومی داده باشم برای این کار. چون ممکنه باعث هرج و مرج و خسارت بشه و گناهش بیفته گردن من.
اونوقت چی میشه؟ خسر الدنیا و الآخره hock:

[navi]

MISSCONFIG !

[Folaani]

میگم این یه کلمهء شما کار رو تموم کردا!!
عزیز برادر میخوایم به یه نتیجهء مستند و محکم برسیم و ببینیم راه حلش چیه، وگرنه از اول خودمم گفتم ممکنه تنظیم اشتباه باشه.
منظور شما از MISSCONFIG دقیقا چیه؟ کجاش MISSCONFIG داره؟
از طرف دیگه من فکر میکنم این MISSCONFIG احتمالا خیلی متداول باشه.

[MASoft]

چیزهایی مثل suexec با mod_php کار نمیکنه، و همچنین دست آدم توی کار کردن با CGI بازتره، ولی خوب از طرفی Performace ای که با mod_php میگیرید خیلی بالاتره، و استفاده از ابزاری مثل suexec باز Performance رو پایینتر میاره. وقتی که تنها یک سایت داشته باشید، mod_php میتونه گزینه مناسب‌تری باشه.

رعایت این موارد باعث میشه که هزینه‌ها بالا بره، و شرکت‌ها توی رقابت کم میارند، در نتیجه ترجیح میدند که این موارد رو رعایت نکنند، و در پایان هم مشکل رو کمبود امنیت سایت خود مشتری بیان می‌کنند. این یکی از دلایلی هست که من خیلی مشتری عمومی ندارم، چون هزینه‌‌ای که می‌گیرم نسبت به بقیه سرویس‌دهنده‌ها بالا هست (البته دلیلش تنها این نیست، بلکه موارد دیگه‌ای هم هست)، و کاربرهای عادی هم تنها فضا و قیمت Hosting یا VPS رو مقایسه می‌کنند، که در این حالت انتخابشون من نخواهم بود.

[TimmyTurner]

اینجا روشش رو بنویسم و نرم افزارش رو بهتون بدم همتون میتونید در عرض یک ساعت اکانت دیگران رو هک کنید.
ولی شرمنده درست نیست این کار رو بکنم.

بخاطر این جزییاتش رو نگفتم چون نمیخوام آموزش عمومی داده باشم برای این کار. چون ممکنه باعث هرج و مرج و خسارت بشه و گناهش بیفته گردن من.
اونوقت چی میشه؟ خسر الدنیا و الآخره

نیازی نیست بترسی. توی فلسفه ی گنو اینجوریه که چیزی برای مخفی کردن وجود نداره. منتشر شدن عمومی باگ ها یکی از این مصادیق هست. این که قراره چه جوری و در چه راهی استفاده بشه به حالات روانی اون شخص بستگی داره.

[Folaani]

چیزهایی مثل suexec با mod_php کار نمیکنه، و همچنین دست آدم توی کار کردن با CGI بازتره، ولی خوب از طرفی Performace ای که با mod_php میگیرید خیلی بالاتره، و استفاده از ابزاری مثل suexec باز Performance رو پایینتر میاره. وقتی که تنها یک سایت داشته باشید، mod_php میتونه گزینه مناسب‌تری باشه.

رعایت این موارد باعث میشه که هزینه‌ها بالا بره، و شرکت‌ها توی رقابت کم میارند، در نتیجه ترجیح میدند که این موارد رو رعایت نکنند، و در پایان هم مشکل رو کمبود امنیت سایت خود مشتری بیان می‌کنند. این یکی از دلایلی هست که من خیلی مشتری عمومی ندارم، چون هزینه‌‌ای که می‌گیرم نسبت به بقیه سرویس‌دهنده‌ها بالا هست (البته دلیلش تنها این نیست، بلکه موارد دیگه‌ای هم هست)، و کاربرهای عادی هم تنها فضا و قیمت Hosting یا VPS رو مقایسه می‌کنند، که در این حالت انتخابشون من نخواهم بود.

والا تا اینجا که من دیدم، ترکیب mod_php و امکان استفاده از CGI روی سرور مساوی با فاجعه هست! حالا نمیدونم آیا میشه CGI رو یجوری محدود کرد یا تنظیمی درمورد پرمیشن ها انجام بدیم که این مشکل رفع بشه یا نه. شاید هم باید CGI رو کلا غیرفعال کرد که نمیدونم کار ممکن و درستی هست یا نه.
بهرحال این موضوع مهمی هست که ارزش بررسی بیشتری رو داره.
من هنوز نفهمیدم آمار این ضعف بزرگ روی سرورها چقدر هست. شاید شرکت هاستینگ من ناشی بودن و هر دوی سرورها رو بد تنظیم کردن. نمیدونم.
بهرحال LAMP در خطره :roll:

[Folaani]

نیازی نیست بترسی. توی فلسفه ی گنو اینجوریه که چیزی برای مخفی کردن وجود نداره. منتشر شدن عمومی باگ ها یکی از این مصادیق هست. این که قراره چه جوری و در چه راهی استفاده بشه به حالات روانی اون شخص بستگی داره.

والا منکه عمری فلسفهء گنو خوندم و کلی هم ترجمه و تبلیغ کردم براش فکر نمیکنم ارتباطی به بحث و نظر بنده داشته باشه.
اون یه بحث دیگه هست، راجع به چیز دیگه ای هست، شرایط دیگه ای داره. اینقدر ساده و خام نیست و توی همه چیز هم دخالت نمیکنه.
حتی خود نرم افزار آزاد هم مثلا نمیگه شما هرچیزی داشتی باید بصورت عمومی منتشر کنی. تا این حد که حتی اگر یه نرم افزار آزاد رو بگیری و تغییرش بدی و برای خودت استفاده کنی مجبور نیستی حتما منتشر کنی و در اختیار عموم بذاری. ولی وقتی منتشر کردی یا به کس دیگری دادی باید با شرایط نرم افزار آزاد باشه.
البته بقول ریچارد اگر آدم چیزی داشته باشه که بتونه برای عموم بشریت مفید باشه و در اختیار عموم نذاره از نظر اخلاقی درست نیست. ولی بهرحال اونم اینقدر خام و کلی و مطلق درمورد همه چیز این قضیه رو تعمیم نمیده و نمیگه باید فورا این کار رو کرد و جوانب دیگر مسئله رو نادیده گرفت.

اینجا هم بنده معقول نمیبینم هرچیزی رو فوری و بصورت عمومی فاش کنم. چون محاسبهء من میگه این کار به احتمال زیاد بیشتر خطر هرج و مرج و خسارت داره تا سود.
ضمنا اینطوری هم نیست بگم قصد دارم این آسیب پذیری رو منتشر نکنم. درواقع تا الانش هم تقریبا همهء نکات کلیدی رو گفتم. فقط یکسری جزییات و مثال و راهنمای گام به گام ندادم که هر بچه ای فردا راه نیفته بره سایت هک کنه.
ببینیم چی میشه با احتیاط و به مرور و از راه عاقلانه هدف منم همینه که این ضعف روشن و حل بشه. نمیخوام که برای خودم مخفی نگه دارم! وگرنه اصلا مطرح نمیکردم.

راستی اینا رو گفتم یاد یه چیزی افتادم.
یه بار از ریچارد پرسیدم که شما که میگی نرم افزار آزاد خیلی خوبه و همهء نرم افزارها باید آزاد باشن، اینطوری اگر کدمنبع بعضی نرم افزارها مثل موتور جستجو و طبقه بندی و رتبه دهی گوگل رو در اختیار عموم بذارن منجر به سوء استفاده و عدم اطمینان به نتایج اونها میشه. خب در این مورد ریچارد معتقد بود که نیازی نیست کد منبع این برنامه ها منتشر بشه. حالا چطور میشه این مطلب رو با دیگر دیدگاههای ایشون و قوانین نرم افزار آزاد تطبیق داد و آیا تناقضی وجود داره یا نه من خودمم نمیدونم.

ضمنا گذشته از اینها، اینطوری نیست که بنده دربست هر چیزی رو حتی اگر جزو فلسفهء گنو و نرم افزار آزاد و نظرات استالمن باشه بپذیرم و تقلید کنم. منهم نظرات و تشخیص و اختلاف نظرهای خودم رو در بعضی موارد ممکنه داشته باشم و تنها اعتقاد و راهنمای من در زندگی فقط اینطور فلسفه ها نیستن. بطور مثال بنده آدم عمیقا معنوی و معتقد به ماوراء و معنویت هستم و در عین اینکه خودم رو متدین به اون معنای کلاسیک و رسمیش نمیدونم اما به صحت پیامبران و ادیان الهی منجمله اسلام اعتقاد دارم، حال آنکه ریچارد هیچکدام از اینا رو قبول نداره!
خب فلسفهء نرم افزار آزاد و گنو و ریچارد در کل بنظرم چیزهای خیلی خوب و درست و مفیدی اومدن که حامی اونا شدم. اما در جزییات ممکنه اختلاف نظر داشته باشم و ضمنا اعتقادات دیگری که برای خودم دارم گاهی ممکنه در نظر و تصمیم و رفتار بنده تفاوت و حتی تضاد ایجاد بکنن.

[Folaani]

حالا چیکار کنم یعنی باید یه اکانت روی هاست دیگه تهیه کنم که تست کنم؟
کسی نمیتونه موقتا اکانت خودش رو بده بهم تست کنم؟
قول میدم توی چیز دیگه فضولی نکنم :mrgreen:
این آزمایش ساده و سریع هست.

[MASoft]

چیزهایی مثل suexec با mod_php کار نمیکنه، و همچنین دست آدم توی کار کردن با CGI بازتره، ولی خوب از طرفی Performace ای که با mod_php میگیرید خیلی بالاتره، و استفاده از ابزاری مثل suexec باز Performance رو پایینتر میاره. وقتی که تنها یک سایت داشته باشید، mod_php میتونه گزینه مناسب‌تری باشه.

رعایت این موارد باعث میشه که هزینه‌ها بالا بره، و شرکت‌ها توی رقابت کم میارند، در نتیجه ترجیح میدند که این موارد رو رعایت نکنند، و در پایان هم مشکل رو کمبود امنیت سایت خود مشتری بیان می‌کنند. این یکی از دلایلی هست که من خیلی مشتری عمومی ندارم، چون هزینه‌‌ای که می‌گیرم نسبت به بقیه سرویس‌دهنده‌ها بالا هست (البته دلیلش تنها این نیست، بلکه موارد دیگه‌ای هم هست)، و کاربرهای عادی هم تنها فضا و قیمت Hosting یا VPS رو مقایسه می‌کنند، که در این حالت انتخابشون من نخواهم بود.

والا تا اینجا که من دیدم، ترکیب mod_php و امکان استفاده از CGI روی سرور مساوی با فاجعه هست! حالا نمیدونم آیا میشه CGI رو یجوری محدود کرد یا تنظیمی درمورد پرمیشن ها انجام بدیم که این مشکل رفع بشه یا نه. شاید هم باید CGI رو کلا غیرفعال کرد که نمیدونم کار ممکن و درستی هست یا نه.
بهرحال این موضوع مهمی هست که ارزش بررسی بیشتری رو داره.
من هنوز نفهمیدم آمار این ضعف بزرگ روی سرورها چقدر هست. شاید شرکت هاستینگ من ناشی بودن و هر دوی سرورها رو بد تنظیم کردن. نمیدونم.
بهرحال LAMP در خطره :roll:

خیر، LAMP در خطر نیست! کسانی که درست تنظیمات رو انجام داده باشند، مشکلی ندارند، و کسایی هم که اینکار رو انجام نداده باشد، نتیجه‌اش رو میگیرند. این وسط باید کاربرها بدونند که از کجا دارند سرویس میگیرند، و تنها بر اساس قیمت چیزی مثل هاستینگ رو انتخاب نکنند.

آمارش رو با چک کردن دو تا هاست نمیشه فهمید، ولی آمارش بالاست، و خیلی از افراد که فله‌ای دست به Deface کردن وب‌سایت‌ها میزنند از همین روش استفاده میکنند.
شرکت هاستینگ شما هم یا ناشی بوده، یا میخواسته هزینه‌هاشو پایین بیاره، و از این مساله کاملا خبر داشته.

[Folaani]

حالا بنظر شما اصلا میشه با mod_php همزمان امکان استفاده از CGI هم باشه (دایرکتوری cgi-bin) و امنیت هم داشته باشیم (و اگر میشه چطوری؛ با چه تنظیمی دقیقا) یا اینکه باید دسترسی CGI رو در این سرورها غیرفعال کرد؟ این سوال بزرگ برای من باقی مونده.
بهرحال بنظرم نمیشه گفت که هیچکس از mod_php استفاده نکنه!

[Zoup]

من اینقدر از امنیت لینوکس تعریف میکنم ولی این دفهء دوم هست که در عرض ایکی ثانیه با یه وبشل هک میکنم.
دفعهء اول کنترل پنل یک Reseller رو هک کردم که در نتیجه دسترسی کامل به هزار و اندی سایت ملت افتاد زیر دستم.
الان هم داشتم روی بحث پرمیشن و اینها که با دوست عزیز در تاپیک دیگه بحثش هست تست هایی روی هاست خودم انجام میدادم و یاد قدیما افتاده بودم که دوباره زرتی اکانت مردم رو هک کردم
این سرورهای لینوکس رو خیلی راحت میشه هک کرد. فقط در چند ثانیه بدون هیچ مشکلی. فقط با نصب یک نرم افزار بنام وبشل.
عجیب نیست؟
این کجاش امنیته؟
ببینید الان مثلا از اکانت یکی از کاربران روی سروری که روش هاست دارم خیلی راحت تمام آمارش رو درآوردم:

کد :

$mosConfig_password = '0937*******';

از درج شماره کامل موبایل مردم معذوریم؛ به همین خاطر بقیش رو ستاره گذاشتم!
معلومه براحتی میشه حداقل پسورد دیتابیس رو از داخل فایلهای پیکربندی درآورد.

آقا وضعیت امنیت خیلی از سرورها درحد صفره انگار
دو سه تا سرور در طول عمرمون داشتیم تا حالا دوتاش به ضایع ترین شکل هک شده.
تازه منکه اصلا هکر نیستم و قصد سوء استفاده نداشتم و ابزار دیگر خاصی که مخصوص هک باشه بکار نبردم.

من دیگه واقعا شک کردم بگم امنیت لینوکس بالاست.
چه وضعشه خدایی!!

Shit!
لینوکس امن نیست!

:lol:

[navi]

سلام
حوصله ام نگرفت اینهمه بخونم .شرمنده اما :
پیکره بندی درست پرمیشنها برای کاربران
اجازه اجرا شدن اسکریپتها تنها در جایی که لازمه مثل همین cgi عزیز
جدا سازی سرویسها - خیلی مهمه -
استفاده از ابزارهای مجازی سازی برای تک تک سرویسها راه حل خوبی هست
ابزارهایی مثل cpanel براحی این راهکارهای امنیتی رو ارائه می کنند .


لینوکس هم مثل ویندوزه . هرچقدر شما بخواهید میتونید نا امنش کنید ....

[Folaani]

یکی از دوستان در فروم دیگه اکانت خودشون رو روی هاستشون در اختیارم گذاشتن تا تست کنم.
باوجودی که امکان استفاده از CGI روی اون هاست وجود داشت اما از یک وب سرور بنام LiteSpeed V5.5 استفاده میکرد که پرمیشن ها رو مثل همون روش اجرای PHP از طریق CGI تنظیم میکرد و نتونستم بهش نفوذ کنم.
شاید اینم یه راهکار خوبی باشه و اینطور که در سایت این نرم افزار نوشته پرفورمنسش از آپاچی هم بیشتر هست: <!-- m --><a class="postlink" href="http://www.litespeedtech.com">http://www.litespeedtech.com</a><!-- m -->

[ltr]
LiteSpeed PHP delivers up to 30% better performance than FastCGI PHP and 50% better performance than Apache mod_php.
LiteSpeed PHP can be started in suEXEC mode, it is a lot easier to secure the file system in a shared hosting environment.
[/ltr]
منبع: <!-- m --><a class="postlink" href="http://www.litespeedtech.com/php-litespeed-sapi.html">http://www.litespeedtech.com/php-litespeed-sapi.html</a><!-- m -->