Skocz do zawartości
kamil2234

exec w php i iptabels

Polecane posty

Witam

 

 

 

 

Chcę sobie napisać skrypt , który zablokuje mi ataki na serwer.

 


<?

$exec = exec("iptables -I INPUT -s 74.63.xxx.xxx -j DROP");
echo $exec; ?>

 

 

 

 

Niestety polecenie nie działa. Mogę np. robić pingi ale nie mam dostępu do iptabels.

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Czyli co. Nie ma uprawień ? Możesz wyjawiać mi mądralo co jest nie tak ?

 

Widziałem w necie , że ludzie takie skrypty odpalają więc napisz w czym jest problem.

 

 

 

 

 

 

Czy chodzi o to , że apache nie ma uprawnień do użytkownika root ?

 

Jak więc odpalać skrypty php z crona tak , żeby mieć dostęp do tego shell-a ?

 

 

 

 

 

Edytowano przez kamil2234 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Czyli co. Nie ma uprawień ? Możesz wyjawiać mi mądralo co jest nie tak ?

Trochę nieładnie zwracasz się do osoby, którą prosisz o pomoc.

 

Czy chodzi o to , że apache nie ma uprawnień do użytkownika root ?

Ano.

 

Widziałem w necie , że ludzie takie skrypty odpalają więc napisz w czym jest problem.

Powiedziałbym Ci, co ja w sieci widziałem, ale mogą to dzieci czytać. (hint: nie wszystko, co znajdziesz w sieci, to dobry pomysł)

 

Jak więc odpalać skrypty php z crona tak , żeby mieć dostęp do tego shell-a ?

Jeżeli chcesz naprawdę z crona łączyć się do apache'a, żeby skryptem phpowym grzebać po firewallu, to weź parę głębokich oddechów i poczekaj aż Ci przejdzie. Jak już wywalisz z tego łańcucha apache'a i php, możesz użyć np. sudo.

 

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Poczytaj o sudo

Sudo umożliwia odpalanie programów przez userów, którzy nie mają dostępu do root, a program potrzebuje uida 0

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość dmho

Co do atakow na serwer, to słusznie będzie polecić fail2ban :) [Rozwijając - robisz sobie skrypt w php który zapisuje odpowiednie logi, a fail2ban je sobie już parsuje i banuje odpowiednio :) Takie rozwiązanie naokoło :D ]

 

A niesłusznie to niestety sudo :)

Edytowano przez dmho (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Mądralo było z przymrożeniem oka ;).

 

 

 

 

Poczytaj o sudo

Sudo umożliwia odpalanie programów przez userów, którzy nie mają dostępu do root, a program potrzebuje uida 0

 

 

 

 

Jeżeli chcesz naprawdę z crona łączyć się do apache'a, żeby skryptem phpowym grzebać po firewallu, to weź parę głębokich oddechów i poczekaj aż Ci przejdzie. Jak już wywalisz z tego łańcucha apache'a i php, możesz użyć np. sudo

 

Z tego co słyszałem to sudo nie jest bezpieczne.

 

Odsyłam więc tu :

 

http://pl.wikipedia.org/wiki/Sudo

 

 

 

 

 

 

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

exec to jedna z funkcji które blokuję w php (definitywnie) :)

 

Na szybko przychodzi mi rozwiązanie że php może zapisywać do pliku adresy IP w cronie skrypt (bash) ładowany np. co minutę, który sprawdza czy są jakieś IP w pliku i jeśli tak to dodaje nowe reguły do iptables, po czym go czyści (plik), jak nie ma żadnych IP to nie robi nic :)

 

To tylko szybki pomysł jak można dodawać to do iptables bez przydzielania uprawnień usługom które nigdy (patrząc na to zdroworozsądkowo) nie powinny ich mieć.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wszystko co jest wywoływanie z poziomu www co wydaje polecenia systemowe jest niezbezpieczne.

sudo jest jak najbardziej bezpieczne kwestia konfiguracji i myślenia.

 

 

 

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Czyli twoim zdaniem - mam tworzyć przy pomocy php listę adresów ip do zbanowania ? Następnie mam uruchamiać w CRON skrypt bash i ładować adresy z tej listy ,którą tworzę za pomocą php do iptabels w celu ilokowania adresów ip ?

 

U mnie sprawa wygląda tak, że ataki wykrywa moduł w directadminie i wysyła mi e-mail o ataku, że jakiś użytkownik próbował atakować serwer wpisując hasło 100 razy. Wtedy w logach directadmina są informacje o tych adresach , które chcę zablokować .

 

Jak mam zatem wyciągnąć te logi w skrypcie php skoro nie mam uprawnień do pliku ? Nie czaje.

 

 

 

 

 

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Po pierwsze nie pisałeś dokładnie co i jak. Ale do rzeczy. Plik do którego zapisuje PHP (zwykły plik tekstowy), uprawnienia takie jak ma Apache, cron z root-a przeczyta bez problemu.

 

Ale skoro DA wysyła ci maila to zamiast komplikować sprawę można to zrobić automatycznie, pomijając czynnik ludzki, czyli twoją ingerencję. No chyba że chcesz sam decydować, blokować czy nie.

 

Jeśli automat to skrypt w bashu może analizować logi i od razu blokować lub też "dopisać" do skryptu przy wysyłaniu maila w DA zapisywanie IP w pliku, który potem analizuje skrypt w bash-u.

 

Możliwości jest sporo, kwestia wybrania najlepszego dla siebie rozwiązania.

Edytowano przez Life (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Myślę, że powinieneś zaznajomić się z dokładną funkcjonalnością brute force monitora z DA

http://www.directadmin.com/features.php?id=1227

http://www.directadmin.com/features.php?id=1234

 

szczególnie powinna Ciebie zainteresować linia:

The script /usr/local/directadmin/scripts/custom/brute_force_notice_ip.sh and brute_force_notice_user.sh scripts will be called, if they exists, allowing the server admin to take action if so desired.. such as adding the IP to the firewall to block the account.

 

zamiast wymyślać jakieś wynalazki z php i exec.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Albo po prostu zatrudnij admina ktory Ci to zrobi

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

W Panelu directadmina jest sekcja Security - włączyłem w niej powiadomienia o atakach . Niestety nie mogę włączyć blokownia.

 

 

 

 

post-13461-0-10739700-1316348417.jpg

 

 

 

 

Albo po prostu zatrudnij admina ktory Ci to zrobi

 

Kolego ja się wolę sam tego nauczyć i nawet zrobić coś źle ale potem wiedzieć. Jak mnie coś zupełnie przerośnie i nie będę miał czasu aby sam to zmienić to wtedy wynajmę odpowiednią osobę. Ostatnio zatrudniłem takiego co woził 570 zł za konfigurację serwera. Nawet nie skonfigurował połowy usług tak jak trzeba. Miałem jeszcze wrażenie , że on pracuje za karę. Miał też skonfigurować to co teraz muszę zrobić ja. Niestety stwierdził , że się nie da - bo to bo tamto.

 

 

 

 

 

 

 

The script /usr/local/directadmin/scripts/custom/brute_force_notice_ip.sh and brute_force_notice_user.sh scripts will be called, if they exists, allowing the server admin to take action if so desired.. such as adding the IP to the firewall to block the account.

 

 

 

 

 

nie mam takiego pliku : brute_force_notice_ip.sh

 

 

Edytowano przez kamil2234 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Te opcje, które nie możesz zaznaczyć dotyczą wykrywania logowań do DA a nie mechanizmu Brute Force Monitor.

 

nie mam takiego pliku : brute_force_notice_ip.sh

więc go sobie utwórz, przecież napisali:

scripts will be called, if they exists

O zawartość sam musisz sobie zadbać.

 

 

PS. Prosiłem Ciebie na PW żebyś nie wstawiał niepotrzebnych enterów miedzy wierszami, dostosuj się do tego proszę.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@ wiesz co napisz mi pw to ja już Ci to zrobie za darmo. Ty nawet z manuali nie potrafisz korzystać a tym bardziej z google

 

@ wiesz co napisz mi pw to ja już Ci to zrobie za darmo. Ty nawet z manuali nie potrafisz korzystać a tym bardziej z google 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@ wiesz co napisz mi pw to ja już Ci to zrobie za darmo. Ty nawet z manuali nie potrafisz korzystać a tym bardziej z google

 

@ wiesz co napisz mi pw to ja już Ci to zrobie za darmo. Ty nawet z manuali nie potrafisz korzystać a tym bardziej z google 

 

I to jest rozwiązanie? Dalej nie będzie umiał a z kolejnym problemem znów sobie nie poradzi.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jeżeli nie potrafi korzystać z google ani z manuali to się niczego nie nauczy nigdy.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jeżeli nie potrafi korzystać z google ani z manuali to się niczego nie nauczy nigdy.

 

To weź mi w aucie zawieszenie zrób, bo nie umiem.

 

OP: znajdź kogoś, kto Ci zrobi ten serwer od początku do końca (i dalej będzie się nim opiekował) i to raczej prędzej niż później bo administracja metodą gwałtu zbiorowego ma jedno możliwe zakończenie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Jeżeli nie potrafi korzystać z google ani z manuali to się niczego nie nauczy nigdy.

 

Nie, że nie potrafi tylko nie każdy jest na równym poziomie wiedzy z zakresu linuxa i mniej to na uwadze. Informatyka ma wiele dziedzin i odłamów tak więc przetestuj się tu wymądrzać. Po to są fora , żeby pytać. Nie wiem czy wiesz ale google indeksuje właśnie takie fora jak te, żeby wy wynikach wyszukiwania znalazły się takie wyniki to musi być conntent. Po za tym nie zawsze poszukiwana informacja jest odnajdywana gdyż nie wszystkie strony są indeksowane. Więc Google to nie lekarstwo na wszystko. Co do manualna to jest naprawdę marny.

 

Gdybym chciał dać to komuś co zrobienia to bym dał już dawno. Ale wolę sam się nauczyć.

 

Ok utworzyłem te pliki brute_force_notice_ip.sh i brute_force_notice_user.sh w /usr/usr/local/directadmin/scripts/custom/

i co dalej ?

 

Proszę o przykładowy skrypt, który mam tam zamieścić . :rolleyes:

 

Ps. trzeba robić jakieś zmiany w directadmin.conf żeby wywoływał te pliki ? Czy też z automatu wydzwania do nich ? Nie mam pojęcia jakie zmienne dostaje w brute_force_notice_ip.sh i brute_force_notice_user.sh w /usr/usr/local/directadmin/scripts/custom/

Edytowano przez kamil2234 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Proszę o przykładowy skrypt, który mam tam zamieścić . :rolleyes:

Taki jaki jest Ci potrzebny, skąd mamy wiedzieć co potrzebujesz? Szklanej kuli nie mamy.

 

Ps. trzeba robić jakieś zmiany w directadmin.conf żeby wywoływał te pliki ? Czy też z automatu wydzwania do nich ? Nie mam pojęcia jakie zmienne dostaje w brute_force_notice_ip.sh i brute_force_notice_user.sh w /usr/usr/local/directadmin/scripts/custom/

Przeczytałeś całość http://www.directadm...res.php?id=1227 ? czy nie chce Ci lub uważasz, że tam nic nie ma i liczysz, że ktoś za Ciebie to wszystko zrobi i wyłoży na tacę rozwiazanie ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Utworzyłem te pliki i żaden z nich nie jest wywoływany podczas włamania. Napisałem prosty skrypt aby sprawdzić czy plik się wywołuje. Niestety skrypt nie tworzy mi pliku gdy symuluję włamanie. dry.gif

 

 

Przeczytałeś całość http://www.directadm...res.php?id=1227 ? czy nie chce Ci lub uważasz, że tam nic nie ma i liczysz, że ktoś za Ciebie to wszystko zrobi i wyłoży na tacę rozwiazanie ?

 

Tak liczę , ze mi napiszesz wszystko od A do Z - skoro głupio pytasz.

 

 

Utworzyłem te pliki i żaden z nich nie jest wywoływany podczas włamania. Napisałem prosty skrypt aby sprawdzić czy plik się wywołuje. Niestety skrypt nie tworzy mi pliku gdy symuluję włamanie. dry.gif

Edytowano przez regdos (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Tu jest tak rodzinnie na tym forum, że mam wrażenie, że zaraz szakale wydrapią mi oczy :angry: . Czy wy na śniadanie zamiast płatków jecie najpierw garnek pełen nienawiści popijany kubkiem jadu ? Ludzie opanujcie się z tymi swoimi docinkami bo robi się niemiło i niesmacznie . Nie każdy po drugiej stronie ekranu ma czas, żeby żreć się na forum. Zwłaszcza nadzwyczaj incydentalny jest moderator, który swoją błyskotliwą wypowiedzią ciągle stara się tu dominować jak samiec na godach.

 

Jeszcze mi nikt na forum nie zwracał uwagi ile mam dawać enterów. Cieście się, że ktoś pisze posty na tym forum i ogląda reklamy. Google to indeksuje i forum łapie wam kontekst. Jak ci nie pasuje , że daje za dużo enterów to napisz skrypt w php, który przefiltruje post. Ja tak robię .

 

Ps. ten manul jest czytelny. Poprzedni to można w tyłek sobie wsadzić, bo nie wiadomo o czym ktoś tam pisze.

Edytowano przez kamil2234 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

My po prostu kultywujemy starożytną tradycję Sithów. Ciesz się, że nikt jeszcze nie zastosował przyduszania lub obcinania kończyn mieczem świetlnym ;)

 

A celowe wydłużanie postów sprawia, że myszy bezprzewodowe żrą więcej prądu przez skrolowanie i trzeba częściej ładować/wymieniać baterie, co zwiększa koszty i jest niewygodne. Słyszałeś o czymś takim jak netykieta? Wymagasz jej od innych, a sam nie stosujesz. Nieładnie, drogi panie, nieładnie.

Edytowano przez d.v (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość
Temat jest zablokowany i nie można w nim pisać.

×