[Guide] Кой е лесният и сигурен начин да се защитим от Shell

[FeliXcat]

Този урок достига до Вас благодарение на DarksTeam.NET​

Здравейте,


Реших да направя 1 урок за да нямате проблеми с така наречените "хакери" които по някаква случайност са разбрали че в сайта Ви има shell и се възползват.
След като направите това което ще видите по долу Вашето apache няма да има правото да edit/delete/move каквито и да е files от Вашият компютър.

------------------------------------------------------------------------------------------------------------------------------------------------------

Започваме по следният начин:

1. Правите си нов акаунт в PC-то, който да е LIMITED!
Limited акаунт е акаунт който няма пълни права.

------------------------------------------------------------------------------------------------------------------------------------------------------

2. По default web сървъра Ви е пуснат със администраторският акаунт.
За целта след като направите ограниченият акаунт трябва да пуснете вашият web сървър със LIMITED акаунта.
Аз лично пускам web server-a си от services но Вие например можете да кликнете с десния бутон, давате Run As... и избирате user-a който е limited.

------------------------------------------------------------------------------------------------------------------------------------------------------

3. Естествено като просто пуснете apache-то няма да тръгне сайта Ви.

За целта намирате папката със Логовете на уеб сървъра Ви.
Кликвате с десният бутон върху нея и отивате на permissions.
Разрешавате на users/guests или там както сте си настроили limited акаунта да има FULL ACCESS на тази папка.
Ако не направите това Вашият акаунт няма да има правото да пише logs и сайта ви ще има error error error error....

Ако имате на друго място logs трябва да дадете full access на limited акаунта.

Ако имате още грешки в сайта, които са се появили след пускането на уеб сървъра с limited акаунта, вижте в кой файл е грешката и му дайта full access или правото да модифицира посоченият файл.


След като направите тези настройки дори и да имате shell в сайта той ще е безполезен...
Човекът отсреща няма да има правото да трие или модифицира файловете по Вашият компютър.

Надявам се да съм помогнал




Важно: Не забравяйте че всеки път трябва да пускате web сървъра си с този акаунт.


Урока е правен от мен така че моля без претенции.

PS. За големите разбирчи (нищо лично).
Пробвайте да пуснете apache с limited акаунт и ако искате 200 shell-a си качете през phpmyadmin или където и да е.
Сега задайте команда на shell-а да изтрие/промени някой файл. - Греда а?

Преди да спорите че незнам си какъв shell можеш и какво ще направиш помислете логически над следното:
- Ще качиш файл и ще гледаш файлове през shell-a ОК!
- Как ще променяш и триеш файлове при условие че user-а който ползва apache няма това право.

 

[DarkMaster]

(applause)

 

[ludlud]

9/10 браво много почнахте да се раздавате всеки пише как да се защитим

 

[Gasolincho]

така няма да се предпазим ама айде :d

 

[sNG]

така няма да се предпазим ама айде :d

Tell us to know your way


P.s. Ей това е вече стойностна тема !

 

[BeautyDeaD]

ти ако чакаш да каже ей така ^^ най много да ти го каже на пм но да го постне тук едвали

 

[sNG]

ти ако чакаш да каже ей така ^^ най много да ти го каже на пм но да го постне тук едвали

онуй пък и то ... питам го ,щото казва ,че има друг начин - явно ,за който аз не знам и сигурно никой незнае,и той трябва да ни научи...

 

[ludlud]

онуй пък и то ... питам го ,щото казва ,че има друг начин - явно ,за който аз не знам и сигурно никой незнае,и той трябва да ни научи...

Всеки друг ( ReaL,Felix,Dark,Omaru,Bupuc,NewGuy и т.н.) но не и Газо...

 

[sNG]

всеки друг ( real,felix,dark,omaru,bupuc,newguy и т.н.) но не и газо...

о , пресвета божия майко ^^ помили това тъпо чадо ^^ да не бъде толкова тъпо и упорито ^^

на български : недей си вря носа дет не ти е работа ,сигурен ли си ,че знаят ?

 

[ludlud]

и малко да знаят помагат !

 

[NikeR]

тва е ако все пак не си си взел уеба с вграден шел :d:d

 

[strsup]

А, защо аджеба трябва да си блъскате главата да направите нещо просто, сложно..

При SQL Server 2k5 и нагоре cmdshell е забранен по подразбиране
за sqlserver2k

exec sp_configure 'show advanced options', 1
go
reconfigure with override
go
exec sp_configure 'xp_cmdshell', 0
go
reconfigure with override
go
exec sp_configure 'show advanced options', 0 
go

Още .."да се защитим от shell"

Защо ви е да минавате през 1000 ненужни процеса ?

 

[y0caa]

браво но с шела пак можеш да ползваш cmd апък от там ако разбираш малко може мн лесно да си направиш акаунта дето е с лимит да е администратор :d

 

[strsup]

браво но с шела пак можеш да ползваш cmd апък от там ако разбираш малко може мн лесно да си направиш акаунта дето е с лимит да е администратор :d

Идеяата, е че процедурата cmdshell, се забранява...и да.. "net user" е близо до акъла.. хайде сега пак прочети за какво става на въпрос..

 

[FeliXcat]

А ако нямаш SQL?
Помисли малко...
Ако SQL ти е на отделен PC както при големите сървъри?


Имаш PC със 1 xampp и уеб пакет със shell. Как ще се защитиш?
Само за MU мислите... |-(

 

[strsup]

А ако нямаш SQL?
Помисли малко...
Ако SQL ти е на отделен PC както при големите сървъри?


Имаш PC със 1 xampp и уеб пакет със shell. Как ще се защитиш?
Само за MU мислите... |-(

Опа... това май е му секцията...или ?

 

[FeliXcat]

Май не прочете какво написах...


"Ако SQL ти е на отделен PC както при големите сървъри?"

 

[strsup]

Май не прочете какво написах...


"Ако SQL ти е на отделен PC както при големите сървъри?"

Така.. и аз като все още имам достъп до DB servera през cmdshell.. какво ми пука..

 

[Protect]

Всеки друг ( ReaL,Felix,Dark,Omaru,Bupuc,NewGuy и т.н.) но не и Газо...

Пълни глупости бях написал,обърках човека.

 

[FeliXcat]

Така.. и аз като все още имам достъп до DB servera през cmdshell.. какво ми пука..

Ауу големи всезнайковци се навъдиха тука (nqh)
Какво ще направиш с тоя shell като user-a няма право да edit,move,delete,raname,upload,download?