Maneras de protegerse de una vulnerabilidad de un archivo PHP

mgrizal

Well-Known Member
Jun 15, 2004
55
0
156
Hola,

+++ El escenario +++

En estos días ocurrió que un spammer ruso explotó una vulnerabilidad de un archivo php escrito por un amigo, es decir que no estaba en las bases de datos conocidas y no era un script conocido. Fue evidente que el spammer "estudio" el script y le encontro el "quiebre".


+++La prevención+++
De las opciones para protegerse que tengo implementadas son:

Firewall
PHPSuexec
Tweak Settings: Max email por dominio por hora: 500 ó 1000
Usar últimas versiones estables de Apache/PHP, openssh, openssl, mysql etc.
Casi todo el software de http://rfxnetworks.com/ para prevenir ataques por fuerza bruta, DDS etc

+++La pregunta+++

¿de que otra manera puedo prevenir que un fucking spammer-cracker coja un php con permisos adecuados con propietario y grupo correcto y envíe spam?

Incluso el cabrón envio paquetes de 1000 mensajes para evitar problemas de loads altos y de restricciones del exim de max número de emails por dominio

Espero sus comentarios,

Gracias
 

IPSecureNetwork

Well-Known Member
May 28, 2005
97
0
156
Amigo, creo tu problema aun confirewalls y todo el kit de apf bfd etc .. te seguria pasando
amenos que actives en el tweak settings la opcion que dice:

Prevent the user "nobody" from sending out mail to remote addresses (PHP and CGI scripts generally run as nobody if you are not using PHPSuexec and Suexec respectively.)

por otro lado te recomendaria para evitar nuevos exploits etc. que te instales el snort_inline es un IDS en tiempo real .. muy efectivo y recomendable.

Saludos.
 

mgrizal

Well-Known Member
Jun 15, 2004
55
0
156
Pero

Hola,

Pero en el ataque anterior lo que el spamer hace es usar un script php mal programado del usuario que tiene ya en el servidor y ese script ya no esta como nobody sino como el user y grupo de la maquina por lo tanto la única salida para mi es restringir el envío máximo por hora por dominio del exim .... ¿ o existe otra opción?

Gracias
 

okrhosting

Member
Jan 11, 2006
22
0
151
Amigo, creo tu problema aun confirewalls y todo el kit de apf bfd etc .. te seguria pasando
amenos que actives en el tweak settings la opcion que dice:

Prevent the user "nobody" from sending out mail to remote addresses (PHP and CGI scripts generally run as nobody if you are not using PHPSuexec and Suexec respectively.)

por otro lado te recomendaria para evitar nuevos exploits etc. que te instales el snort_inline es un IDS en tiempo real .. muy efectivo y recomendable.

Saludos.
Pero si activas la prevención por lo general la funcion sendmail de php deja de funcionar, esto implica que a lo mejor muchos furmularios van a quedar sin funcionar.
 
Thread starter Similar threads Forum Replies Date
M Discusión en Español 3