lonas
25/11/2008, 01:01
se agradece el manual
Manual TEMP a NOEXEC (Servidores que ejecutan Scripts IRC, Nuke...)
davidlig
24/11/2008, 22:38
Muy buen manual seguro que a más de uno le sirve de ayuda, gracias por compartir con nosotros tus conocimientos.
Un saludo
Un saludo
kennysamuerto
24/11/2008, 19:15
Bueno, pues debido a que he tenido el problema, y lo he solucionado, pretendo compartirlo con todos.
Bien, el problema viene, cuando desde algun ataque, te lanzan un script que ejecuta el IRC o determinados scripts como el Nuke, etc.
Estos scripts ponen el servidor a tope, lento, y malo. podreis comprobar si realmente estais afectados, cuando le poneis un comando top, y os salen procesos varios perl.
PAra comprobar que efectivamente se trata de esto, ejecutaremos el siguiente comando:
lsof -p NUMERO_DE_PID (El Pid de uno de los procesos perl que consuma mucho)
Con esto, nos deberia dar un resultado largo, y generalmente al final, algo parecido a esto:
perl 13084 apache 50u IPv4 96781 TCP xxx-xx-xx-xx.ovh.net:60485->189-19-66-57.dsl.telesp.net.br:1337 (ESTABLISHED)
Variando, logicamente, el final (dsl.telesp.net.br....)
Bien, con esto tenemos localizado, que los procesos perl, se deben a que han ejecutado algun script en nuestro servidor.
Para evitarlo, vamos a pasar el temp, que es el directorio donde lo ejecutan, a noexec. Con esto, nos ahorraremos problemas.
Empezemos:
Como ROOT haceis estos pasos:
cd /dev
dd if=/dev/zero of=tmpMnt bs=1024 count=100000
/sbin/mke2fs /dev/tmpMnt
(Contestad s a la pregunta que os hace)
cp -R /tmp/ /tmp_backup
mount -o loop,rw,nosuid,noexec /dev/tmpMnt /tmp
chmod 0777 /tmp
cp -R /tmp_backup/* /tmp/
rm -rf /tmp_backup
Tras esto, hay que hacer que el /dev/tmpMnt se monte cada vez que reiniciamos, y para ello, hay que modificar /etc/fstab de la siguiente forma:
/dev/tmpMnt /tmp ext2 loop,rw,nosuid,noexec 0 0
Reiniciar servicios, como por ejemplo mysql, y listo, ya estais protegidos contra scripts maliciosos.
Saludos
Bien, el problema viene, cuando desde algun ataque, te lanzan un script que ejecuta el IRC o determinados scripts como el Nuke, etc.
Estos scripts ponen el servidor a tope, lento, y malo. podreis comprobar si realmente estais afectados, cuando le poneis un comando top, y os salen procesos varios perl.
PAra comprobar que efectivamente se trata de esto, ejecutaremos el siguiente comando:
lsof -p NUMERO_DE_PID (El Pid de uno de los procesos perl que consuma mucho)
Con esto, nos deberia dar un resultado largo, y generalmente al final, algo parecido a esto:
perl 13084 apache 50u IPv4 96781 TCP xxx-xx-xx-xx.ovh.net:60485->189-19-66-57.dsl.telesp.net.br:1337 (ESTABLISHED)
Variando, logicamente, el final (dsl.telesp.net.br....)
Bien, con esto tenemos localizado, que los procesos perl, se deben a que han ejecutado algun script en nuestro servidor.
Para evitarlo, vamos a pasar el temp, que es el directorio donde lo ejecutan, a noexec. Con esto, nos ahorraremos problemas.
Empezemos:
Como ROOT haceis estos pasos:
cd /dev
dd if=/dev/zero of=tmpMnt bs=1024 count=100000
/sbin/mke2fs /dev/tmpMnt
(Contestad s a la pregunta que os hace)
cp -R /tmp/ /tmp_backup
mount -o loop,rw,nosuid,noexec /dev/tmpMnt /tmp
chmod 0777 /tmp
cp -R /tmp_backup/* /tmp/
rm -rf /tmp_backup
Tras esto, hay que hacer que el /dev/tmpMnt se monte cada vez que reiniciamos, y para ello, hay que modificar /etc/fstab de la siguiente forma:
/dev/tmpMnt /tmp ext2 loop,rw,nosuid,noexec 0 0
Reiniciar servicios, como por ejemplo mysql, y listo, ya estais protegidos contra scripts maliciosos.
Saludos