Skocz do zawartości
Gość nrm

Apache - Spory Load I % Cpu

Polecane posty

Gość patrick
Co jeszcze zrobić aby po wrzuceniu jakiegokolwiek zlosliwego skryptu nie dalo sie nic więcej zrobic poza danym kontem? niby mam te base_dir i php z jednego konta nie zrobi nic na drugim ale widac tym razem zostało to jakos ominiete. przyblokowac jeszcze jakąś funkcje w php? w apache?

 

chroot apache badz php na safe_mode z openbasedir + prawa dostepu do kont.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

noexec na partycje z /tmp to następna warta zrobienia rzecz.

 

Co do eAcceleratora - przy masie skryptów do cacheowania (kiedy jego katalog ma po 3-4 GB) naprawdę przyrost wydajności nie jest tak zauważalny, ale pewien jest :). Twoje obciążenie nie było zapewne podyktowane tylko tym, że eaccelerator nie działal, ale pewnie tez kilku gigabajtowym error logiem z tego powodu, do którego co wywołanie jakiegokolwiek skryptu dopisywał sie błąd : ). Tak czy siak, dobrze, ze po problemie. Zabezpiecz się na przyszłość :P. Jeśli chodzi o PHP - z założenia poza shell_exec blokuje też readfile, dl, system, passthru, proc_open - 1-2% skryptów (zazwyczaj głupawych i dziurawych) ma problemy, ale spada zagrożenie możliwością wejścia w system przez popularne dziury i takie różne tam r57shelle właśnie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Chmod(go=) dla programów typu Perl, Python ,gcc, cpp, wget, lynx itp. ,

a także dla niektórych katalogów systemowych(711).

Immutable flag dla plików w np. /bin, /sbin

- tylko trzeba później pamiętać aby ją zdjąć przed updatem czegokolwiek stamtąd,

bo inaczej można się zdziwić że jakoś dpkg wariuje. :)

Jeśli dobrze znasz charakterytykę ruchu/obciążenia swojego serwera,

to możesz zatrudnić coś do killowania procesów powyżej pewnego

pułapu użycia zasobów(RAM, CPU) i automatycznego powiadamiania via e-mail, sms.

Jeśli masz tylko 2 partycje na serwerze, możesz /tmp zrobić jako "loop".

Możesz całość wrzucić do VPSa, tak aby master host pozostał "czysty"

w razie poważniejszego włamania. Miło się to backupuje i przywraca,

a przy standardowych ustawieniach np. takiego OpenVZ,

w VPSie możesz tylko korzystać z iptables - żadnych obcych

modułów jądra, zmiany czasu, ba możesz ustawić immutable flag,

a później zabronić danemu VPSowi używania tej funkcji(czyli zdjęcia). :P

Jest jeszcze coś takiego jak "Hardened PHP" - ma kilka ciekawie

wyglądających funkcji, możesz mu się przyjrzeć,

aczkolwiek jak działa to nie powiem.

Mam w planach jego testy, ale dopiero za tydzień.

Nie wiem, co hostujesz na serwerze, ale podejrzewam,

że listę disable_functions zaproponowaną przez Patryka

możesz spokojnie wydłużyć o jeszcze kilka funkcji.

 

Zawsze możesz pojechać do DC i przegryźć kabel. :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×