Apache2 separar sitios

Imagen de juanmi

Forums: 

¡Hola a todos!

Hace mucho tiempo que no escribía por Ecualug y siempre es un placer ;-)

Me ha surgido una duda en la configuración óptima de Apache y quería comentarla con vosotros a ver que opináis.

Os pongo en antecedentes, hace unos días a un amiguete le hackearon un Joomla bastante antiguo y consiguieron meter un Web Shell y manejar el servidor desde la web hackeada. A lo mejor a alguno os suena el ataque, el web shel lo alojan en los archivos filesman.php o licesne.php y tiene esta pinta:

http://www.victorciobanu.com/wp-content/uploads/2012/10/Web-Shell-by-oRb.png

El ataque al final redujo el servidor a un servidor de spam que mandó sin parar durante tiempo un mail detrás de otro.

Después de pensar un rato pensé la forma de securizar el resto de sitios del Apache. Según tenía configurado Apache este compañero el directorio /var/www/ pertenece a www-data y como el shell hecho en php lo ejecuta el usuario www-data podía navegar por todos los sitios web y vaga a sus anchas por el server.

Este hacker consigue meter código malicioso en el sitio web y de ahí navegar, pero quiero ponerme paranoico y pensar que un cliente con pleno derecho en su sitio mete ese código en su sitio web y de ahí navegar a los otros sitios.

Me gustaría saber de que forma montaríais Apache para que el usuario solo tenga permisos de lectura y escritura en su sitio y que de alguna forma el código ejecutado por www-data en ese directorio no salga de ese directorio.

En resumidas cuentas dejar abandonado cada directorio, si es hackeado sólo es hackeado ese directorio y jamás se podrá acceder a los otros directorios.

¡Un saludo!

ok, una variante buena y

Imagen de Epe

ok, una variante buena y simple es mod_ruid2, aunque puedes probar con mod_suphp (que no es tan fácil pero tampoco es imposible).

el mod_ruid2 le puedes conseguir en el sitio centalt y te permitirá definir bajo qué usuario corre un determinado sitio web

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre