Re: это война
Можно так-же поставить снорт и есть вероятность он обнаружит проблеммы .
Да и вообще по моему намного проще попытаться обнаружить скрипт который
это делает, просто анализируя логи.
On Tue, Feb 28, 2006 at 11:55:45AM +0200, Yura Dik wrote:
>
> Есть n-ое количество серверов, каждый из которых периодически взламывают
> следующим образом: от пользователя www-data в /tmp закачивается ELF или
> скрипт, который от имени этого же пользователя и запускается, заставить
> прогеров проверить все cgi на безопасность нереально, что
> посоветуете ???
>
>
> 1. можно ли запретить определенному пользователю запускать программы из
> определенного пути, или разрешать только определенные пути ???
>
> 2. как запретить пользователю (например www-data) открывать socket, но
> при этом чтобы сервер работал
>
> 3. есть ли tools которые будут мониторить такое странное поведение
> (запуск программ из /tmp, открытие socket, вообще подозрительный GET и
> POST запрос)
>
> 4. чем мониторить web server, проверяя не наличие открытого socket, а
> проверяя например не изменился ли index.html нет ли 404 ошибки и т.д.
>
>
>
>
>
Reply to: