OVH Community, your new community space.

Manual TEMP a NOEXEC (Servidores que ejecutan Scripts IRC, Nuke...)


lonas
25/11/2008, 02:01
se agradece el manual

davidlig
24/11/2008, 23:38
Muy buen manual seguro que a más de uno le sirve de ayuda, gracias por compartir con nosotros tus conocimientos.

Un saludo

kennysamuerto
24/11/2008, 20:15
Bueno, pues debido a que he tenido el problema, y lo he solucionado, pretendo compartirlo con todos.

Bien, el problema viene, cuando desde algun ataque, te lanzan un script que ejecuta el IRC o determinados scripts como el Nuke, etc.

Estos scripts ponen el servidor a tope, lento, y malo. podreis comprobar si realmente estais afectados, cuando le poneis un comando top, y os salen procesos varios perl.

PAra comprobar que efectivamente se trata de esto, ejecutaremos el siguiente comando:

lsof -p NUMERO_DE_PID (El Pid de uno de los procesos perl que consuma mucho)

Con esto, nos deberia dar un resultado largo, y generalmente al final, algo parecido a esto:

perl 13084 apache 50u IPv4 96781 TCP xxx-xx-xx-xx.ovh.net:60485->189-19-66-57.dsl.telesp.net.br:1337 (ESTABLISHED)

Variando, logicamente, el final (dsl.telesp.net.br....)

Bien, con esto tenemos localizado, que los procesos perl, se deben a que han ejecutado algun script en nuestro servidor.

Para evitarlo, vamos a pasar el temp, que es el directorio donde lo ejecutan, a noexec. Con esto, nos ahorraremos problemas.

Empezemos:

Como ROOT haceis estos pasos:

cd /dev

dd if=/dev/zero of=tmpMnt bs=1024 count=100000

/sbin/mke2fs /dev/tmpMnt
(Contestad s a la pregunta que os hace)

cp -R /tmp/ /tmp_backup

mount -o loop,rw,nosuid,noexec /dev/tmpMnt /tmp

chmod 0777 /tmp

cp -R /tmp_backup/* /tmp/

rm -rf /tmp_backup

Tras esto, hay que hacer que el /dev/tmpMnt se monte cada vez que reiniciamos, y para ello, hay que modificar /etc/fstab de la siguiente forma:

/dev/tmpMnt /tmp ext2 loop,rw,nosuid,noexec 0 0

Reiniciar servicios, como por ejemplo mysql, y listo, ya estais protegidos contra scripts maliciosos.

Saludos