Разминка для мозгов #2

ru_root — 24.02.2012 Представьте себе, что вы - RHCE, которому повезло получить работу в иностранной хостинговой компании, которая размещает корпоративные сайты.
В вашем распоряжении ряд серверов с RHEL5 и WHM. Клиенты используют php, cgi, perl и немного питона.

Недавно вам пришла жалоба из ДЦ, о том, что с одного из ваших серверов идет флуд на другие сайты. Вы обнаружили ряд процессов, которые маскируются под apache и работают с этими правами. Возникает риск того, что эти процессы могут быть использованы не только для атаки, но еще и для порчи сайтов или воровства информации.

Из какого сайта происходит вредительство найти не возможно - все эти процессы запускают себя из /tmp директории со случайными именами, написаны они на perl/php/питоне.

Вы открыли кейс в cPanel и Red Hat, по поводу данной проблемы и получили следующие ответы:

cPanel

1. Перевести PHP в режим cgi, так как с правами apache запускаются именно php в режиме dso.
2. Установить mod_security для блокировки шеллов и кросс-скриптинга.
3. Отключить опасные функции в php.
4. Перевести его в safe mode.

Red Hat

1. Настроить SeLinux.
2. Изолировать сайты в chroot.
3. Включить службу аудита.

К сожалению, ни какой из советов вам не подошел:

cPanel

1. Перестает работать часть клиентских сайтов, заточенных под mod_php
2. Некоторые страницы сайтов открываются с ошибками.
3. Теряется функционал некоторых сайтов.
4. Аналогично п.3.

Red Hat

1. WHM не работает с SeLinux
2. WHM не поддерживает chroot
3. Аудит показывает то, что происходит запуск чихпыха/перла/питона с правами апача и это вся информация.


Задача - решить проблему, сохранив нетронутым функционал хостинга и работу клиентских сайтов.

Ответы, как в прошлый раз,скрывать не буду.

Оставить комментарий

Популярные посты:

• Архив