Autor Tema: Problemas de seguridad por php.ini (Leído 447 veces)

Alexito · « **en:** Febrero 07, 2012, 00:37 »

Hola a todos!!

De nuevo dando vueltas por estos rumbos.

Necesito ayuda y para comprender todo sera necesario lean todo lo que sigue.

Hace unas semanas llego un hacker a mi servidor y obtuvo acceso a el sin ningún problema, lo alcance a detectar ya que estaba trabajando con mi web (basada en whmcs) donde de pronto vi un archivo extraño que no habia subido yo y que yo sabia que no era del whmcs. Lo abri y era un script para subir archivos.

Lo elimine y volvió a aparecer, de pronto en mi carpeta templates aparecieron mas archivos, Todo un kit Hacker

Revisando el mismo archivo con lo que subio tenia como funciones visualizar todos los dominios alojados en el servidor y los scripts, eso no es todo. Cuando vi los dominios alojados me preocupe, pero cuando di clic en un link llamado " Symlink" del dominio que escogiera de la lista entre en preocupacion ya que tenia acceso en modo texto plano a los archivos de cualquier dominio alojado, incluyendo era posible visualizar los archivos de configuracion del whmcs, wordpress, joomla, smf, phpbb3 entre otros mas para ver los datos de configuracion como si vieras un TXT.

Rapidamente abri el editor de textos para ver la programacion del archivo y revisar las funciones usadas y estas no aparecian ya que el archivo estaba encriptado asi que procedi a desactivar todas las funciones que conocia a travez de disable_functions y me encuentro con la sorpresa de que el archivo colapso mostrando error en las funciones scandir, eval entre otras funciones.

Todo bien hasta ahi ( parte de los errores que se mostraron a algunos clientes por haber deshabilitado todas las funciones que conocia ) ya habiendo visto las funciones que usaba el script retire las demas dejando las que ya tenia y las que usaba el script.

Despues actualice mi whmcs ya que tenia un bug de seguridad pero luego me dio la curiosidad de agregar un php.ini junto a los archivos del hacker (un php.ini en blanco) y las funciones se activaron nuevamente y la herramienta quedo funcionando nuevamente diciendome que estoy vulnerable.

En mi caso tome mis medidas necesarias, mi whmcs no tiene accesos root registrados, solo acceso a una cuenta reseller que cree y que desde el whm no hay acceso a las demas cuentas.

Antes que se me olvide, entre las herramientas estaba un hack para whmcs que ponias los datos del configuration.php incluyendo el hash y descifraba todas las contraseñas guardadas en whmcs (las que encripta al ser un campo password).

Pero aun asi los scripts de mis clientes y datos quedan al descubierto si vuelven a intentar hackear del mismo modo.

Hay algún modo de que el usuario que cree un php.ini en su cuenta no pueda desactivar las funciones que yo desactive desde WHM?

Mi servidor esta configurado con suPHP.

Espero me puedan ayudar.

mlumbreras · « **Respuesta #1 en:** Febrero 07, 2012, 14:03 »

Cita de: Alexito en Febrero 07, 2012, 00:37

Hay algún modo de que el usuario que cree un php.ini en su cuenta no pueda desactivar las funciones que yo desactive desde WHM? Mi servidor esta configurado con suPHP.

Lo mejor que podrías hacer, y además es muy recomendable hacerlo en los servidores en producción, es forzar a los usuarios a utilizar el php.ini primario. A continuación, por si te interesa, te explico cómo proceder:

# ESCENARIO 1 #
Queremos forzar a todos los usuarios a utilizar el php.ini primario.

1. Creamos el archivo /usr/local/apache/conf/userdata/suphp_configpath.conf que contendrá:

Código: [Seleccionar]

#nota: no incluir el php.ini primario, sólo el directorio donde se encuentra - ej: /usr/local/lib/
<IfModule mod_suphp.c>
<Location />
suPHP_ConfigPath /usr/local/lib/
</Location>
</IfModule>

# ESCENARIO 2 #
Queremos forzar a todos los usuarios a utilizar el php.ini primario, pero queremos que un usuario en concreto, pepe, tenga un php.ini personalizado (/home/pepe/php.ini).

1. Creamos el archivo /usr/local/apache/conf/userdata/suphp_configpath.conf que contendrá:

Código: [Seleccionar]

#nota: no incluir el php.ini primario, sólo el directorio donde se encuentra - ej: /usr/local/lib/
<IfModule mod_suphp.c>
<Location />
suPHP_ConfigPath /usr/local/lib/
</Location>
</IfModule>

2. Creamos los archivos /usr/local/apache/conf/userdata/std/2/pepe/suphp_configpath.conf y /usr/local/apache/conf/userdata/ssl/2/pepe/suphp_configpath.conf, que contendrán en cada uno de ellos:

Código: [Seleccionar]

#nota: no incluir el php.ini primario, sólo la ruta al directorio home de pepe
<IfModule mod_suphp.c>
<Location />
suPHP_ConfigPath /home/pepe/
</Location>
</IfModule>

# ESCENARIO 3 #
Queremos forzar a todos los usuarios a utilizar el php.ini primario, pero queremos que un usuario en concreto, pepe, tenga un php.ini personalizado, aunque esta vez restringido sólo a superpepe.com, uno de sus dominios (/home/pepe/public_html/superpepe.com/php.ini).

1. Creamos el archivo /usr/local/apache/conf/userdata/suphp_configpath.conf que contendrá:

Código: [Seleccionar]

#nota: no incluir el php.ini primario, sólo el directorio donde se encuentra - ej: /usr/local/lib/
<IfModule mod_suphp.c>
<Location />
suPHP_ConfigPath /usr/local/lib/
</Location>
</IfModule>

2. Creamos los archivos /usr/local/apache/conf/userdata/std/2/pepe/superpepe.com/suphp_configpath.conf y /usr/local/apache/conf/userdata/ssl/2/pepe/superpepe.com/suphp_configpath.conf, que contendrán en cada uno de ellos:

Código: [Seleccionar]

#nota: no incluir el php.ini primario, sólo la ruta al directorio web de superpepe.com
<IfModule mod_suphp.c>
<Location />
suPHP_ConfigPath /home/pepe/public_html/superpepe.com/
</Location>
</IfModule>

Una vez que hayamos realizado las modificaciones ejecutamos el siguiente comando para verificar la integridad de los archivos que hemos creado

Código: [Seleccionar]

/scripts/verify_vhost_includes
Si la verificación ha sido correcta, ejecutamos el siguiente comando para que los cambios se apliquen a todos los usuarios (ej. en /usr/local/apache/conf/userdata/*.conf)

Código: [Seleccionar]

/scripts/ensure_vhost_includes --all-users
Con el siguiente comando aplicaremos los cambios específicamente para pepe y sus dominios

Código: [Seleccionar]

/scripts/ensure_vhost_includes --user=pepe
A partir de ahora, si un usuario que no hayas autorizado sube algún archivo php.ini a su directorio, éste será ignorado.

usm · « **Respuesta #2 en:** Febrero 07, 2012, 16:49 »

cuando creas un php.ini para una cuenta, automaticamente todos los valores no especificados se ponen por default asi que al dejar un php.ini en blanco todo, pero todo quedo por default, inclusive las funciones deshabilitadas.

No creo que sean necesarios todos esos pasos para crear un custom php.ini, por defecto apache utilizara el php.ini que se encuentra en /usr/local/lib y si quieres que alguien en particular use otro solo basta con usar .htaccess en vez de meter mano en los includes de apache de cpanel.

Ojo, el suPHPConfig es para que sea recursivo, de otra forma el php.ini funcionaria solo en esa carpeta.

mlumbreras · « **Respuesta #3 en:** Febrero 07, 2012, 18:31 »

Cita de: usm en Febrero 07, 2012, 16:49

No creo que sean necesarios todos esos pasos para crear un custom php.ini, por defecto apache utilizara el php.ini que se encuentra en /usr/local/lib y si quieres que alguien en particular use otro solo basta con usar .htaccess en vez de meter mano en los includes de apache de cpanel.

Esos pasos, no son para crear un custom php.ini. Esos pasos son para proteger, no para customizar. La gracia de realizar esas modificaciones es que el <Location> anulará cualquier "suPHP_ConfigPath" en el archivo .htaccess del cliente. Con lo cual, no podrá modificar las directivas usadas por el administrador, ni a través de un php.ini propio, ni a través de un .htaccess. Que es lo que pretende hacer Alexito, y no otra cosa.

Alexito · « **Respuesta #4 en:** Febrero 09, 2012, 09:28 »

amigo esto es lo que me estan haciendo vean =\
http://securityreason.com/securityalert/6744

este es otro ejemplo de que es lo que me hacen
http://iustbasij.ir/web/sym.php?sws=sym
con esto pueden ver todo lo que hay en mi sistema =S

mlumbreras · « **Respuesta #5 en:** Febrero 09, 2012, 11:42 »

Creo que lo primero que deberías chequear es cómo y de qué forma accedieron a tu servidor. Solventar eso debe ser el primer paso.

Alexito · « **Respuesta #6 en:** Febrero 09, 2012, 12:11 »

Bueno la cuestion y la unica forma que lo abrian echo son 2 opciones
1. whmcs que ya he tomado medidas preventivas
2. por una cuenta cpanel subiendo esos archivos.

la cuestion es como evitar estos tipos de shell =\ .
he desactivado muchas funciones. Pero necesito ayuda creo interna para que me puedan hechar una mano para valorar mi seguridad en el web host.
por cierto es un vps.

saludos

mlumbreras · « **Respuesta #7 en:** Febrero 09, 2012, 12:15 »

Echa un vistazo a este enlace. Hay información muy, muy buena para proteger tu servidor.

Alexito · « **Respuesta #8 en:** Febrero 09, 2012, 12:56 »

Muchas gracias.
lo estoy poniendo enpracticas gracias

Autor Tema: Problemas de seguridad por php.ini (Leído 447 veces)

Alexito

Problemas de seguridad por php.ini

mlumbreras

Re:Problemas de seguridad por php.ini

usm

Re:Problemas de seguridad por php.ini

mlumbreras

Re:Problemas de seguridad por php.ini

Alexito

Re:Problemas de seguridad por php.ini

mlumbreras

Re:Problemas de seguridad por php.ini

Alexito

Re:Problemas de seguridad por php.ini

mlumbreras

Re:Problemas de seguridad por php.ini

Alexito

Re:Problemas de seguridad por php.ini

Ayudanos a crecer

Temas recientes

¿Quién esta en línea?