Apache i grsec

16 views
Skip to first unread message

jacki

unread,
May 10, 2013, 4:19:49 AM5/10/13
to
Hej,

Od kilku dni mam pewien problem, w logach pojawia siďż˝ coďż˝ takiego:

May 10 07:12:18 x kernel: [11163676.048754] ps[27128]: segfault at
40ed04 ip 00000000004059d2 sp 000070cd14ae1df8 error 7 in ps
(deleted)[400000+2b000]
May 10 07:12:18 x kernel: [11163676.048865] grsec: bruteforce prevention
initiated against uid 33, banning for 15 minutes

uid 33 to www-data

Po tym apache2 umiera i trzeba go zrestartowa�. Nie mam poj�cia gdzie
zacz�� szuka� rozwi�zania.

# dpkg -l|grep apache|awk '{print $2" "$3}'
apache2 2.2.16-6+squeeze11
apache2-doc 2.2.22-13
apache2-mpm-prefork 2.2.16-6+squeeze11
apache2-prefork-dev 2.2.16-6+squeeze11
apache2-suexec 2.2.22-13
apache2-utils 2.2.16-6+squeeze11
apache2.2-bin 2.2.16-6+squeeze11
apache2.2-common 2.2.16-6+squeeze11
libapache2-mod-evasive 1.10.1-1
libapache2-mod-perl2 2.0.4-7+squeeze1
libapache2-mod-php5 5.3.3-7+squeeze15
libapache2-mod-suphp 0.7.1-3
libapache2-mod-wsgi 3.3-2
libapache2-reload-perl 0.12-1

# dpkg -l|grep php|awk '{print $2" "$3}'
libapache2-mod-php5 5.3.3-7+squeeze15
libapache2-mod-suphp 0.7.1-3
php-pear 5.3.3-7+squeeze15
php5-cgi 5.3.3-7+squeeze15
php5-cli 5.3.3-7+squeeze15
php5-common 5.3.3-7+squeeze15
php5-curl 5.3.3-7+squeeze15
php5-dev 5.3.3-7+squeeze15
php5-gd 5.3.3-7+squeeze15
php5-mcrypt 5.3.3-7+squeeze15
php5-mysql 5.3.3-7+squeeze15
php5-sqlite 5.3.3-7+squeeze15
php5-suhosin 0.9.32.1-1
phpmyadmin 4:3.4.11.1-2
suphp-common 0.7.1-3

/var/log/apache2# cat *.access.log|grep -e "07:12:17"
83.5.24.164 - - [10/May/2013:07:12:17 +0200] "GET /favicon.ico HTTP/1.1"
404 511
/var/log/apache2# cat *.access.log|grep -e "07:12:18"
/var/log/apache2# cat *.error.log|grep -e "07:12:17"
[Fri May 10 07:12:17 2013] [error] [client 83.5.24.164] File does not
exist: /home/dhn/public_html/favicon.ico
/var/log/apache2# cat *.error.log|grep -e "07:12:18"

Ma kto� jaki� pomys� c� to mo�e si� dzia�?

qed

unread,
May 10, 2013, 7:10:59 AM5/10/13
to
W dniu 10.05.2013 10:19, jacki pisze:
Hi
Ja siedz� w bezpiecze�stwie sieciowym i przypomina mi to reakcj� na
automatyczne pr�by z�amania has�a; wielokrotnym logowaniem.
W wyniku tego banowane jest na 15 minut konto www-data, na kt�rym
prawdopodobnie dzia�a serwis www, b�d�cy celem ataku, a skoro pada
apache, to tak�e i on zostaje zatrzymany.
To ma uchroni� Tw�j serwer przed przej�ciem has�a pr�bami wielokrotnego
logowania (brute-force).
Za t� reakcj� odpowiada grsec - zwi�kszajacy bezpiecze�stwo kernela i
s�usznie zreszt� ;) Zapewne w jego konfiguracji m�g�by� zapobiec
banowaniu, ale to nie b�dzie dobre rozwi�zanie, bo mo�e doprowadzi� do
zhackowania serwisu.
Spr�buj przejrze� inne logi sieciowe (mo�e masz te� ips/ids po drodze?);
powinny pokaza� natr�tne pr�by logowania. Moim zdaniem jeste� "under
siege" i trzeba namierzy� natr�ta.

QED

jacki

unread,
May 10, 2013, 8:31:10 AM5/10/13
to
W dniu 2013-05-10 13:10, qed pisze:
> Hi
> Ja siedz� w bezpiecze�stwie sieciowym i przypomina mi to reakcj� na
> automatyczne pr�by z�amania has�a; wielokrotnym logowaniem.
> W wyniku tego banowane jest na 15 minut konto www-data, na kt�rym
> prawdopodobnie dzia�a serwis www, b�d�cy celem ataku, a skoro pada
> apache, to tak�e i on zostaje zatrzymany.
> To ma uchroni� Tw�j serwer przed przej�ciem has�a pr�bami wielokrotnego
> logowania (brute-force).
> Za t� reakcj� odpowiada grsec - zwi�kszajacy bezpiecze�stwo kernela i
> s�usznie zreszt� ;) Zapewne w jego konfiguracji m�g�by� zapobiec
> banowaniu, ale to nie b�dzie dobre rozwi�zanie, bo mo�e doprowadzi� do
> zhackowania serwisu.
> Spr�buj przejrze� inne logi sieciowe (mo�e masz te� ips/ids po drodze?);
> powinny pokaza� natr�tne pr�by logowania. Moim zdaniem jeste� "under
> siege" i trzeba namierzy� natr�ta.
>

Nie mam nic po drodze. Innych log�w nie mam, ale mog� w��czy� np.
logowanie INPUT na iptables. Co� jeszcze przychodzi Ci do g�owy?

W dokumentacji grsec mam coďż˝ takiego

CONFIG_GRKERNSEC_BRUTE
If you say Y here, attempts to bruteforce exploits against forking
daemons such as apache or sshd, as well as against suid/sgid binaries
will be deterred. When a child of a forking daemon is killed by PaX or
crashed due to an illegal instruction or other suspicious signal, the
parent process will be delayed 30 seconds upon every subsequent fork
until the administrator is able to assess the situation and restart the
daemon.

In the suid/sgid case, the attempt is logged, the user has all their
processes terminated, and they are prevented from executing any further
processes for 15 minutes.

Czytam, ale nadal nie bardzo rozumiem co si� dzieje. Ok, jest to pr�ba
w�amania ale jak namierzy� atakuj�cego?

Reply all
Reply to author
Forward
0 new messages