Siamo sotto il controllo degli hacker?

4

Abbiamo un server Web che monta CentOS. Su quel WS c'è un Apache (versione 2.2.3) e alcuni siti.

È possibile accedere solo se si dispone di un certificato (per utente root) o via ftp (una partizione ristretta di dati per i contenuti di upload, ma questo non è il punto) o tramite apache che hanno qualche autorizzazione per scrivere nella directory di determinati .

Nel passato recente abbiamo avuto qualche problema con quella politica dato che chi può "hackerare" Apache, potrebbe cancellare i file nelle directory scrivibili di Apache. Ma non ci siamo spaventati da oggi.

Oggi notiamo che un file di log e una directory di log, in particolare la directory del log di httpd e i file di log, hanno subito una modifica delle autorizzazioni (in dettaglio, qualcuno ha rimosso la perm + x ad altri utenti. Poiché il proprietario è root e il gruppo è root, qualcuno potrebbe dirmi se esiste una spiegazione alternativa a "qualcuno ha rubato il tuo certificato"?

Inoltre, so che tenere aggiornato il software è il metodo migliore per prevenire difetti ben noti, ma in quel caso non posso immaginare qualcuno che tramite Apache potrebbe fare qualcosa del genere.

    
posta DonCallisto 15.05.2012 - 10:48
fonte

1 risposta

4

Stai dicendo che le tue autorizzazioni erano 755 ma ora sono 754 o 644? Guardando i miei registri Apache (Ubuntu, non ho a portata di mano CentOS), dovrebbero essere 644. È stato riavviato Apache?

Per quanto riguarda i possibili metodi di attacco (ipoteticamente parlando ovviamente) -

Supponendo che qualcuno non abbia rubato o falsificato con successo l'autenticazione di certificazione, una possibile teoria è che qualcuno abbia rubato un login FTP (interamente plausibile, tramite ingegneria sociale o annusando il protocollo Cleartext da qualche parte lungo la connessione FTP), e poi eseguito l'escalation dei privilegi (attraverso una vulnerabilità nel servizio FTP, Apache (improbabile: non ne è al corrente nessuna al momento), qualche altro software installato nel sistema, tramite il kernel Linux (esistono ma presumo che tu sia ben riparato su quel fronte, a meno che qualcuno non abbia lanciato uno 0-day a modo tuo, ancora improbabile ma possibile se hai dati che qualcuno vuole davvero) o tramite la tua applicazione web a seconda di quanto bene è codificato). Le app PHP sono famose per essere sviluppate in modo insicuro e sono spesso sfruttabili.

Consiglierei di rimuovere l'accesso FTP e di sostituirlo con SFTP (utilizzando l'autenticazione della chiave).

    
risposta data 15.05.2012 - 12:03
fonte

Leggi altre domande sui tag