Mapperettigheder ifb med webservere

jeg har ingen helt firkantede meninger om det, men er dog af den opfattelse at der er to sager i det: den ene at lægge kode i biblioteket, den anden er at køre den.
hvis den der kan køre koden ingen rettigheder har i systemet, så er der jo ikke megen skade sket.
så hvis vi antager at systemet er 100% patched og der ikke er ssh adgang til serveren, så ville jeg heller ikke mene at der kan ske den store skade.
men jeg ville nok bruge lidt tid på at prøve at lave det om, da det sådan rent principielt (mere end reelt) er noget sjusk (såån min personlige mening).
nu kender jeg ikke så meget til php, men det kører vel under en bestemt systembruger. kan man ikke bare melde den bruger ind i passende gruppe, og så lade den gruppe eje mappen?

hack scenarie:
En service på maskinen bliver hakket og en gut tiltvinger sig en shell med rettigheder som brugeren der kører den service.
Siden du har sat 0777 og ikke feks 0770 så kan alle brugere på maskinen smide filer i dine web mapper. Scripts kan køres derfra, warez kan smides på din webserver osv osv..

hej strych9 - fedt du lige kigger på det her
jeg synes det kunne være interessant at høre hvordan du vurderer sandsynligheden for det hack scenarie

hey mox =)

jow, altså part 1 "En service på maskinen bliver hakket og en gut tiltvinger sig en shell med rettigheder som brugeren der kører den service."

Dette er meget sandsyneligt. Der bliver hele tiden scannet igennem hele Internet og hvis man har porten åben for en kendt exploitable service så er der også en der kommer ind, og ret hurtigt oven i købet.

part 2 "Siden du har sat 0777 og ikke feks 0770 så kan alle brugere på maskinen smide filer i dine web mapper."

Det afhænger lidt hvor interessant det er for vedkommende, og hvad der ligger på serveren. Hvis der feks er installeret php på maskinen vil det være en smal sag for en hacker at få en ny shell som kører med apache privilegier. Herefter har han så adgang til alt hvad apache har adgang til. Dvs muligvis læsning af databaser, phishing, defacement af webserver, at bruge den som spam relay med diverse scripts hvis der er adgang til port 25 ud osv.
Med disse muligheder ER det sandsynligt at det vil blive identificeret som næste skridt/angrebspunkt for en hacker med en lav-priviligeret shell på maskinen.

Det her understreger vel også hvor super-vigtigt det er ikke at køre apache eller nogen anden service som root. Hvis apache kørte som root, så ville hackeren have en root shell i dette scenarie. Dvs ubegrænsede muligheder.

Tilføjelse: Måden man skal tænke på er "Hvis nu apache kontoen var en hacker, hvad ville den så kunne gøre af nasty ting på min maskine?". Feks er skriverettigheder til filer på website så en dårlig ide at give til apache.

Kan godt se jeg har et problem, hvis en hacker får en shell. Lad os som udgangspunkt antage, at serveren er uden de store sikkerhedsbrølere. Hvor stor en risiko løber jeg så med min 0777 mappe på webserveren? Hvordan skulle man uden en shell kunne smide scripts i mappen (tjekker selvfølelig hvad det er for nogle filer, der bliver uploadet) og eksekvere dem? Kræver dette ikke at hackeren også får en shell?

Der er hele den type af angreb der hedder "Cross site scripting" at tage højde for også. securityfocus.com har sikkert en masse information om det.

Og der kan være en svagt programmeret web applikation på. Eksempelvis har der været mange huller i phpnuke og lignende programmer. Men som altid med sikkerhed: Det hele afhænger lidt..