problemas com segurança no Apache

olá pessoal, ultimamente estou enfrentando alguns problemas com segurança no apache aqui onde trabalho. Possuo um servidor Debian Sarge com apache, php, mysql. Hospedo vários domínios aqui e o usuário do apache é o www-data. Cada domínio tem seu próprio usuário. A estrutura é a seguinte: tudo está hospedado em /var/www/ e depois as pastas dos respectivos domínios. Como dono das pastas eu tenho o dono do domínio mas como grupo eu tenho o www-data e a permisão nelas é para leitura e escrita para user e grupo. O que está acontecendo é que estão conseguindo colocar arquivos com o usuário www-data em algumas pastas do meu dómínio, arquivos como trojans e vírus. Alguém pode me ajudar quando a isso?

Klein,

Normalmente isso ocorre de duas formas.

1ª Um usuário mais esperto, que possui acesso shell/ftp, caso exista alguma permissão errada em determinada pasta do seu site, ele poderá escrever. Cuidado com chmod 777, são um perigo!

2ª Bugs em sistemas web. Isso só pode se tornar um problema no caso do seu sistema (mysql/php/apache/etc..) estar mal configurado.

É importante identificar qual o método usado, análise os logs do apache com atenção a parâmetros passados pela URL, caso você use algum CMS(php-nuke, joomla, etc..), verifique se não está sendo usado algum módulo "bugado".

No mais, dê uma procurada na documentaçõ do php por safe_mode e no apache por openbase_dir

[*] PHP-NUKE é mais furado que bob-esponja ;)

o site em questão usa php-nuke, tu sabe algum tipo de brecha que posso fechar quanto a ele? uso o mod-secutiry com algumas regras ja

Ative o safe_mode no php, desligue, register_globals. Irá ajudar. Você ainda vai correr riscos de ataques atráves de sql injection, porém são mais complicados de serem efetuados e normalmente comprometem a aplicação, não o servidor em si.

Citação:

Postado originalmente por hrober

Ative o safe_mode no php, desligue, register_globals. Irá ajudar. Você ainda vai correr riscos de ataques atráves de sql injection, porém são mais complicados de serem efetuados e normalmente comprometem a aplicação, não o servidor em si.

ja barrei o sql injection e desativei o função mail no php, quanto ao register globals eu nao posso desabilitar pois o site não funciona sem isso, creio que o safe mod esta desabilitado, que segurança eu teria habilitando o safe_mode?

PHP: Safe Mode - Manual