• Re: Problem z apache2 i grsec

    From Stachu 'Dozzie' K.@110:300/1.1 to All on Fri May 10 12:41:22 2013
    On 2013-05-10, jacki <collector@idealan.pl> wrote:
    [...]
    Świetnie, ale nie zauważyłeś chyba, że paczki debianowe mam w najwyższej wersji ze squeeze, która jest wersją stabilną

    Już nie. Teraz już jest oldstable.
    http://www.debian.org/News/2013/20130504

    --
    Secunia non olet.
    Stanislaw Klekot

    --- MBSE BBS v0.95.15 (GNU/Linux-x86_64)
    * Origin: solani.org (110:300/1.1@linuxnet)
  • From jacki@110:300/1.1 to All on Fri May 10 12:46:31 2013
    W dniu 2013-05-10 12:41, Stachu 'Dozzie' K. pisze:
    On 2013-05-10, jacki <collector@idealan.pl> wrote:
    [...]
    Świetnie, ale nie zauważyłeś chyba, że paczki debianowe mam w najwyższej
    wersji ze squeeze, która jest wersją stabilną

    Już nie. Teraz już jest oldstable.
    http://www.debian.org/News/2013/20130504


    Tak ja wiem, ale mimo wszystko chyba można mówić o niej jako o wersji stabilnej.

    --- MBSE BBS v0.95.15 (GNU/Linux-x86_64)
    * Origin: CI TASK http://www.task.gda.pl/ (110:300/1.1@linuxnet)
  • From Stachu 'Dozzie' K.@110:300/1.1 to All on Fri May 10 14:13:00 2013
    On 2013-05-10, jacki <collector@idealan.pl> wrote:
    W dniu 2013-05-10 12:41, Stachu 'Dozzie' K. pisze:
    On 2013-05-10, jacki <collector@idealan.pl> wrote:
    [...]
    Świetnie, ale nie zauważyłeś chyba, że paczki debianowe mam w najwyższej >>> wersji ze squeeze, która jest wersją stabilną

    Już nie. Teraz już jest oldstable.
    http://www.debian.org/News/2013/20130504


    Tak ja wiem, ale mimo wszystko chyba można mówić o niej jako o wersji stabilnej.

    Póki mówimy o Debianie, to nie można -- ze względu na niejednoznaczność znaczenia słowa "stable" (etap w cyklu życia wersji kontra
    (subiektywna?) ocena jakości).

    --
    Secunia non olet.
    Stanislaw Klekot

    --- MBSE BBS v0.95.15 (GNU/Linux-x86_64)
    * Origin: solani.org (110:300/1.1@linuxnet)
  • From jacki@110:300/1.1 to All on Fri May 10 14:34:09 2013
    W dniu 2013-05-10 14:13, Stachu 'Dozzie' K. pisze:
    Świetnie, ale nie zauważyłeś chyba, że paczki debianowe mam w najwyższej >>>> wersji ze squeeze, która jest wersją stabilną

    Już nie. Teraz już jest oldstable.
    http://www.debian.org/News/2013/20130504


    Tak ja wiem, ale mimo wszystko chyba można mówić o niej jako o wersji
    stabilnej.

    Póki mówimy o Debianie, to nie można -- ze względu na niejednoznaczność znaczenia słowa "stable" (etap w cyklu życia wersji kontra
    (subiektywna?) ocena jakości).


    Ok, wiedziałem, że się przyczepisz ;)

    Co do problemu, masz może pomysł w jaki sposób wykryć atakującego?

    Dokumentacja do grsec mówi, że:

    CONFIG_GRKERNSEC_BRUTE
    If you say Y here, attempts to bruteforce exploits against forking
    daemons such as apache or sshd, as well as against suid/sgid binaries
    will be deterred. When a child of a forking daemon is killed by PaX or
    crashed due to an illegal instruction or other suspicious signal, the
    parent process will be delayed 30 seconds upon every subsequent fork
    until the administrator is able to assess the situation and restart the daemon.

    In the suid/sgid case, the attempt is logged, the user has all their
    processes terminated, and they are prevented from executing any further processes for 15 minutes.

    Zatem mam tu "suid/sgid case" ale nie wiem co z tym mogę zrobić

    --- MBSE BBS v0.95.15 (GNU/Linux-x86_64)
    * Origin: CI TASK http://www.task.gda.pl/ (110:300/1.1@linuxnet)
  • From jacki@110:300/1.1 to All on Fri May 10 10:27:35 2013
    Hej,

    Od kilku dni mam pewien problem, w logach pojawia się coś takiego:

    May 10 07:12:18 x kernel: [11163676.048754] ps[27128]: segfault at
    40ed04 ip 00000000004059d2 sp 000070cd14ae1df8 error 7 in ps (deleted)[400000+2b000]
    May 10 07:12:18 x kernel: [11163676.048865] grsec: bruteforce prevention initiated against uid 33, banning for 15 minutes

    uid 33 to www-data

    Po tym apache2 umiera i trzeba go zrestartować. Nie mam pojęcia gdzie
    zacząć szukać rozwiązania.

    # dpkg -l|grep apache|awk '{print $2" "$3}'
    apache2 2.2.16-6+squeeze11
    apache2-doc 2.2.22-13
    apache2-mpm-prefork 2.2.16-6+squeeze11
    apache2-prefork-dev 2.2.16-6+squeeze11
    apache2-suexec 2.2.22-13
    apache2-utils 2.2.16-6+squeeze11
    apache2.2-bin 2.2.16-6+squeeze11
    apache2.2-common 2.2.16-6+squeeze11
    libapache2-mod-evasive 1.10.1-1
    libapache2-mod-perl2 2.0.4-7+squeeze1
    libapache2-mod-php5 5.3.3-7+squeeze15
    libapache2-mod-suphp 0.7.1-3
    libapache2-mod-wsgi 3.3-2
    libapache2-reload-perl 0.12-1

    # dpkg -l|grep php|awk '{print $2" "$3}'
    libapache2-mod-php5 5.3.3-7+squeeze15
    libapache2-mod-suphp 0.7.1-3
    php-pear 5.3.3-7+squeeze15
    php5-cgi 5.3.3-7+squeeze15
    php5-cli 5.3.3-7+squeeze15
    php5-common 5.3.3-7+squeeze15
    php5-curl 5.3.3-7+squeeze15
    php5-dev 5.3.3-7+squeeze15
    php5-gd 5.3.3-7+squeeze15
    php5-mcrypt 5.3.3-7+squeeze15
    php5-mysql 5.3.3-7+squeeze15
    php5-sqlite 5.3.3-7+squeeze15
    php5-suhosin 0.9.32.1-1
    phpmyadmin 4:3.4.11.1-2
    suphp-common 0.7.1-3

    /var/log/apache2# cat *.access.log|grep -e "07:12:17"
    83.5.24.164 - - [10/May/2013:07:12:17 +0200] "GET /favicon.ico HTTP/1.1"
    404 511
    /var/log/apache2# cat *.access.log|grep -e "07:12:18"
    /var/log/apache2# cat *.error.log|grep -e "07:12:17"
    [Fri May 10 07:12:17 2013] [error] [client 83.5.24.164] File does not
    exist: /home/dhn/public_html/favicon.ico
    /var/log/apache2# cat *.error.log|grep -e "07:12:18"

    Ma ktoś jakiś pomysł cóż to może się dziać?

    PS. post zamieszczony też na pl.comp.os.linux.debian

    --- MBSE BBS v0.95.15 (GNU/Linux-x86_64)
    * Origin: CI TASK http://www.task.gda.pl/ (110:300/1.1@linuxnet)
  • From WOJO@110:300/1.1 to All on Fri May 10 10:44:30 2013
    Po tym apache2 umiera i trzeba go zrestartowa‘. Nie mam pojˆcia gdzie
    zaczń‘ szuka‘ rozwińzania.

    Na stronach:
    http://php.net/
    http://httpd.apache.org/
    I do kompletu nie zapomnij o:
    http://www.phpmyadmin.net/home_page/index.php
    php - 5.3.25
    apache - 2.2.24
    phpmyadmin - 4.0.0
    Pozdrawiam.
    WOJO


    --- MBSE BBS v0.95.15 (GNU/Linux-x86_64)
    * Origin: ATMAN - ATM S.A. (110:300/1.1@linuxnet)
  • From jacki@110:300/1.1 to All on Fri May 10 11:34:55 2013
    W dniu 2013-05-10 10:44, WOJO pisze:
    Po tym apache2 umiera i trzeba go zrestartować. Nie mam pojęcia gdzie
    zacząć szukać rozwiązania.

    Na stronach:
    http://php.net/
    http://httpd.apache.org/
    I do kompletu nie zapomnij o:
    http://www.phpmyadmin.net/home_page/index.php
    php - 5.3.25
    apache - 2.2.24
    phpmyadmin - 4.0.0

    Świetnie, ale nie zauważyłeś chyba, że paczki debianowe mam w najwyższej wersji ze squeeze, która jest wersją stabilną i nie powinny one posiadać
    tego typu bugów. Poza tym debian w wersji 7, która wyszła jakoś na
    dniach nie posiada paczek w wersjach, które przytoczyłeś. Najnowszy!=najlepszy(najbardziej stabilny)

    Mnie najbardziej interesuje to:
    grsec: bruteforce prevention initiated against uid 33

    Podejrzewam, że to jest jakiś atak na serwer apache, ale nie wiem jak namierzyć na co konkretnie.



    --- MBSE BBS v0.95.15 (GNU/Linux-x86_64)
    * Origin: CI TASK http://www.task.gda.pl/ (110:300/1.1@linuxnet)