С нами с 07.10.10
Сообщения: 891
Рейтинг: 1316
|
 Добавлено: 22/06/18 в 16:27 |
Знатоки подскажите пожалуйста. Возможно ли в линуксе извне подключиться к папке /tmp?
На одном из серверов периодически стал появляться шелл маленький, который через куки работает. Видимо через уязвимость какую то заливают, пока не понял через какую. Систему проверяю всю на всякие $_COOKIE, str_rot13 и подобные хрени, ну и антивирусниками смотрю, ничего нет нигде больше.
Вот думаю, или это бот тупо заливает этот шелл чтоб потом перенести его в доступные извне папки. Или есть способ напрямую из инета к папке /tmp обратиться. Поиском в гугл, бинг, яндекс ничего не нашел.
Спасибо.
|
|
|
|
| |
С нами с 30.10.12
Сообщения: 3123
Рейтинг: 2541
 
|
| Добавлено: 22/06/18 в 17:17 |
Поставь в папку .htaccess с содержанием
Deny from all
И все должно быть пучком 
|
|
|
|
| |
С нами с 07.10.10
Сообщения: 891
Рейтинг: 1316
|
| Добавлено: 22/06/18 в 18:08 |
| Securom писал: | | И все должно быть пучком |
Издеваешься небось?
По идее к этой папке много что обращается, хотя это локально все наверное. Если только добавить allow from 127.0.0.1
Не, я надеюсь заткну дырку через что заливают, просто принципиально интересно можно ли достучаться извне до этой папки.
|
|
|
|
| |
С нами с 30.10.12
Сообщения: 3123
Рейтинг: 2541
|
| Добавлено: 22/06/18 в 18:17 |
| dmmcash писал: | | Издеваешься небось? |
С хуяли меня пытались взломать и залили шелл через папку tmp  так что я на своей шкуре испытал
|
|
|
|
| |
С нами с 07.10.10
Сообщения: 891
Рейтинг: 1316
|
| Добавлено: 22/06/18 в 18:42 |
| Securom писал: | | С хуяли icon_mrgreen.gif меня пытались взломать и залили шелл через папку tmp icon_razz.gif так что я на своей шкуре испытал |
Понял, спасибо. Применю как временную меру пока дыру не найду. А ты не ставил allow from localhost или подобное? Не мешает работе приложений этот htaccess?
|
|
|
|
| |
+
С нами с 09.05.17
Сообщения: 661
Рейтинг: 586
|
| Добавлено: 22/06/18 в 21:55 |
"монтируйте /tmp с noexec" @Magicum 
|
|
|
|
| |
С нами с 30.10.12
Сообщения: 3123
Рейтинг: 2541
|
| Добавлено: 23/06/18 в 06:13 |
| dmmcash писал: | | А ты не ставил allow from localhost или подобное? Не мешает работе приложений этот htaccess? |
Неа
Да и эта хуйня на движке KVS произошла
|
|
|
|
| |
+
С нами с 09.05.17
Сообщения: 661
Рейтинг: 586
|
| Добавлено: 23/06/18 в 07:33 |
Кстате, этот ваш .htaccess работает только с Apache, если у вас связка nginx+php-fpm, то хоть что в этот .htaccess пиши, толку будет чуть менее чем нисколько 
|
|
|
|
| |
С нами с 07.10.10
Сообщения: 891
Рейтинг: 1316
|
| Добавлено: 23/06/18 в 08:51 |
| Oswell E. Spencer писал: | | "монтируйте /tmp с noexec" @Magicum icon_cool.gif |
Да, спасибо. Я читал про это, просто не уверен что это не нарушит работу других приложений. Много чего пишется в эту папку насколько я понял. Но всеравно попробую. И да, у меня Apache.
А все же. Возможно ли в линуксе из инета подключиться к папке /tmp? Это уже просто интересно.
И я уже нашел дырку откуда шелл заливали в /tmp. Спал спокойно уже 
|
|
|
|
| |
+
С нами с 09.05.17
Сообщения: 661
Рейтинг: 586
|
| Добавлено: 23/06/18 в 08:54 |
| dmmcash писал: | Да, спасибо. Я читал про это, просто не уверен что это не нарушит работу других приложений. Много чего пишется в эту папку насколько я понял. Но всеравно попробую. И да, у меня Apache.
|
да пусть пишется что угодно, главное ничего оттуда не запустится
|
|
|
|
| |
