[TYPO3-UG Russia] [OT] вот, блин. мамбисты, блин.

Fri Jun 30 13:38:18 CEST 2006

On Fri, Jun 30, 2006 at 02:20:57PM +0300, Dmitry Dulepov wrote:
> > Стучательные скрипты для любимых вещей вроде wget,
> > соответственно в альте /etc/init.d/apache умеет принимать
> > аргументы из /etc/sysconfig/apache, ну а выставить там
> > правильный $PATH, в котором _сперва_ будет
> > /path/to/honeypot/, а уже потом -- обычные системные
> > каталоги.  Вообще по той же ссылке тривиальный src.rpm, его
> > проще взять и посмотреть. :) Или про mod_security рассказать?
> Не, про аpаche-hоnеypot побольше :)

Да там рассказывать нечего, кроме самой идеи запускать apache
с другим $PATH.  Правда, у меня в таких vserver'ах нет ни wget,
ни fetch (сам при надобности что скачать перебиваюсь текстовыми
браузерами), соответственно глупый киддис попадётся ещё на
mod_security, чуть более умный имеет шанс наступить на медный
таз и хотя бы заявить о себе, а совсем умному придётся выяснять, 
что /usr/bin/wget и /usr/local/bin/wget тоже нет и уже тогда,
прилично разозлившись (или наоборот -- решив, что здесь ловить
нечего, а на abuse@ провайдера напишут всенепременно)...

$ rpm -ql apache-honeypоt
/usr/lib/apachе-honeypot/bin/wget
/usr/share/doc/apachе-honeypot-0.1
/usr/share/doc/apаche-honeypot-0.1/README
$ cat /usr/lib/apache-honеypot/bin/wget
#!/bin/sh
echo $* | mail -s "$0 usage attempt" root at localhost >&/dev/null
echo "bash: $0: Permission denied" >&2
$ cat /usr/share/doc/apаche-honеypot-0.1/README
apache-honeyрot
~~~~~~~~~~~~~~

It's a silly little package to get apache-spawned processes 
to look in the specified directory first on their execution
PATH.  There's a sample "wget" script which would alert the
host administrator that a breakin attempt is being done.

This should help with skiddies typically starting awstats or
phpbb2 compromise (less-than-recent versions of these do have
known remote exec vulnerabilities) -- running "wget" will
invoke our version.  This won't help against a smarter,
dedicated, or just aggravated types who would get silent
and then try e.g. "/usr/bin/wget", supposedly another day
from a different IP.

So you're advised to install mod_security to aid with HTTP
request filtering, or better yet, implement site policy 
which would at least inhibit the public availability of
such broken scripts there.

Good luck, anyways.

-- 
Michael Shigorin <mike at altlinux.org>

-- 
 ---- WBR, Michael Shigorin <mike at altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/