[TYPO3-UG Russia] [OT] вот, блин. мамбисты, блин.
Michael Shigorin
mike at osdn.org.ua
Fri Jun 30 13:38:18 CEST 2006
On Fri, Jun 30, 2006 at 02:20:57PM +0300, Dmitry Dulepov wrote:
> > Стучательные скрипты для любимых вещей вроде wget,
> > соответственно в альте /etc/init.d/apache умеет принимать
> > аргументы из /etc/sysconfig/apache, ну а выставить там
> > правильный $PATH, в котором _сперва_ будет
> > /path/to/honeypot/, а уже потом -- обычные системные
> > каталоги. Вообще по той же ссылке тривиальный src.rpm, его
> > проще взять и посмотреть. :) Или про mod_security рассказать?
> Не, про аpаche-hоnеypot побольше :)
Да там рассказывать нечего, кроме самой идеи запускать apache
с другим $PATH. Правда, у меня в таких vserver'ах нет ни wget,
ни fetch (сам при надобности что скачать перебиваюсь текстовыми
браузерами), соответственно глупый киддис попадётся ещё на
mod_security, чуть более умный имеет шанс наступить на медный
таз и хотя бы заявить о себе, а совсем умному придётся выяснять,
что /usr/bin/wget и /usr/local/bin/wget тоже нет и уже тогда,
прилично разозлившись (или наоборот -- решив, что здесь ловить
нечего, а на abuse@ провайдера напишут всенепременно)...
$ rpm -ql apache-honeypоt
/usr/lib/apachе-honeypot/bin/wget
/usr/share/doc/apachе-honeypot-0.1
/usr/share/doc/apаche-honeypot-0.1/README
$ cat /usr/lib/apache-honеypot/bin/wget
#!/bin/sh
echo $* | mail -s "$0 usage attempt" root at localhost >&/dev/null
echo "bash: $0: Permission denied" >&2
$ cat /usr/share/doc/apаche-honеypot-0.1/README
apache-honeyрot
~~~~~~~~~~~~~~
It's a silly little package to get apache-spawned processes
to look in the specified directory first on their execution
PATH. There's a sample "wget" script which would alert the
host administrator that a breakin attempt is being done.
This should help with skiddies typically starting awstats or
phpbb2 compromise (less-than-recent versions of these do have
known remote exec vulnerabilities) -- running "wget" will
invoke our version. This won't help against a smarter,
dedicated, or just aggravated types who would get silent
and then try e.g. "/usr/bin/wget", supposedly another day
from a different IP.
So you're advised to install mod_security to aid with HTTP
request filtering, or better yet, implement site policy
which would at least inhibit the public availability of
such broken scripts there.
Good luck, anyways.
--
Michael Shigorin <mike at altlinux.org>
--
---- WBR, Michael Shigorin <mike at altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
More information about the TYPO3-russia
mailing list