É possível que um usuário mal-intencionado saia de / var / www?

1

Minha pasta /var/www é de propriedade de root, mas www-data tem permissões de gravação em um de seus subdiretórios (uma pasta de upload de usuário, contendo apenas imagens ).

Existe alguma maneira para um usuário mal-intencionado navegar fora deste subdiretório específico ou até mesmo de /var/www ?

Existe algo que eu possa fazer para aumentar a segurança para isso?

O uso de chrooting é inútil nesse caso?

Obrigado pelas suas sugestões.

    
por ericd 21.09.2012 / 08:03

2 respostas

2

Esse tipo de vulnerabilidade é chamado de "passagem de diretório".

Já faz muito tempo que o próprio Apache teve uma vulnerabilidade de passagem em si, mas parece que você está executando seu próprio código dentro do Apache; é aí que você precisa se concentrar em mitigar o risco, particularmente se você tiver código que carrega outros arquivos ou conteúdo do sistema de arquivos (o código de upload, por exemplo).

Você verá ocasionalmente entradas em seus registros de bots que fazem solicitações como /../../../etc/passwd , mas o Apache não dará a eles esse conteúdo (pelo menos não sem uma nova vulnerabilidade descoberta), então você só vai querer para ter certeza de que o mesmo se aplica ao seu próprio código.

    
por 21.09.2012 / 08:18
2

suas permissões de arquivo devem ser 644 e os diretórios devem ser 755 . O único usuário com permissão deve ser www-data. Outros usuários só possuem permissões de leitura. No seu caso, parece bem.

Coloque uma varredura diária de clam-av e LMD no diretório raiz da web. Se você estiver usando qualquer estrutura interna, verifique a segurança com o site e sempre tenha as versões mais recentes dos aplicativos.

Para montar o diretório raiz da web, você deve colocar inotify em / var / www, assim você deve saber quais arquivos foram editados, criados e deletados no sistema de arquivos. A primeira etapa do hacker é colocar alguns arquivos na raiz da web e, em seguida, navegar no sistema de arquivos, portanto, você deve monitorar isso via inotify.

Sempre faça o backup diário dos arquivos antigos para que você possa comparar os arquivos, se forem editados recentemente na Web, por códigos maliciosos.

Todos os arquivos criados na pasta de imagens não devem ter permissão de execução e também verificar se o arquivo enviado é somente imagem, verifique também as extensões do arquivo.

Espero que ajude.

    
por 21.09.2012 / 08:14