Hi,
Ich habe mir den 2.4.26'er Kernel source gesaugt und darauf den grsecurity patch angewandt. Patchen ging ohne Probleme. Bei der grsecurity Patch config habe ich High angegeben für Maximale Sicherheit.
Kernel Kompeliert und ins System eingebunden und rebootet und funzte 1A nur jetzt ist der hacken, wenn ich über SuPHP ein phpscript starte dessen inhalt eine screen anweisung enthält so wird es zwar gestartet, aber nach 5 sek. wird screen wieder beendet. Es handelt sich hier um einen Gameserver der da gestartet wird.
Kann es sein, das ich durch die Parameter High bei der grsecurity config, das solche prozesse dann immer wieder beendet werden?
Gestartet wird es als user web1 das shellscript.
Kann mir da jemand ratschläge geben, warum dies so ist und ob es was nützt wenn ich beim grsecurity Patch config nur medium angebe, das er die web1 prozesse die ich via SuPHP starte nicht gleich wieder beendet?
grsecurity patch -> Prozesse stoppen einfach :(
-
blnsnoopy26
- Posts: 660
- Joined: 2002-10-19 14:01
Re: grsecurity patch -> Prozesse stoppen einfach :(
Hier die logauszüge:
Code: Select all
12:24:25 xxxxxx kernel: grsec: time set by /sbin/hwclock[hwclock:29406] uid/euid:0/0 gid/egid:0/0, parent /etc/init.d/boot.clock[S0
Jun 1 12:24:30 xxxxxx kernel: grsec: time set by /usr/sbin/ntpdate[ntpdate:8554] uid/euid:0/0 gid/egid:0/0, parent /etc/init.d/xntpd[S08x
Jun 1 12:27:46 xxxxxx kernel: grsec: time set by /usr/sbin/ntpd[ntpd:12572] uid/euid:74/74 gid/egid:65534/65534, parent /sbin/init[init:1
Jun 1 12:27:54 xxxxxx kernel: PAX: execution attempt in: <anonymous mapping>, 2c702000-2f403000 0017c000
Jun 1 12:27:54 xxxxxx kernel: PAX: terminating task: /home/www/web1/sof2/sof2ded(sof2ded):21914, uid/euid: 636/636, PC: 2e7f21c0, SP: 5c5
Jun 1 12:27:54 xxxxxx kernel: PAX: bytes at PC: 81 ee 38 00 00 00 83 c7 04 8d 86 20 00 00 00 89 07 83 c7 04
Jun 1 12:27:54 xxxxxx kernel: grsec: attempted resource overstep by requesting 4096 for RLIMIT_CORE against limit 0 by /home/www/web1/sof
Jun 1 12:30:55 xxxxxx kernel: PAX: From 217.231.168.238: execution attempt in: <anonymous mapping>, 25682000-28383000 0017c000
Jun 1 12:30:55 xxxxxx kernel: PAX: From 217.231.168.238: terminating task: /home/www/web1/sof2/sof2ded(sof2ded):3909, uid/euid: 636/636,
Jun 1 12:30:55 xxxxxx kernel: PAX: bytes at PC: 81 ee 38 00 00 00 83 c7 04 8d 86 20 00 00 00 89 07 83 c7 04
Jun 1 12:30:55 xxxxxx kernel: grsec: From 217.231.168.238: attempted resource overstep by requesting 4096 for RLIMIT_CORE against limit 0
Jun 1 12:34:26 xxxxxx kernel: PAX: From 217.231.168.238: execution attempt in: <anonymous mapping>, 29cf5000-2c9f6000 0017c000
Jun 1 12:34:26 xxxxxx kernel: PAX: From 217.231.168.238: terminating task: /home/www/web1/sof2/sof2ded(sof2ded):8912, uid/euid: 636/636,
Jun 1 12:34:26 xxxxxx kernel: PAX: bytes at PC: 81 ee 38 00 00 00 83 c7 04 8d 86 20 00 00 00 89 07 83 c7 04
Jun 1 12:34:26 xxxxxx kernel: grsec: From 217.231.168.238: attempted resource overstep by requesting 4096 for RLIMIT_CORE against limit 0
Jun 1 12:35:08 xxxxxx kernel: PAX: From 217.82.170.63: execution attempt in: <anonymous mapping>, 26fc8000-29cc9000 0017c000
Jun 1 12:35:08 xxxxxx kernel: PAX: From 217.82.170.63: terminating task: /home/www/web1/sof2/sof2ded(sof2ded):24659, uid/euid: 636/636, P
Jun 1 12:35:08 xxxxxx kernel: PAX: bytes at PC: 81 ee 38 00 00 00 83 c7 04 8d 86 20 00 00 00 89 07 83 c7 04
-
nn4l
- Posts: 172
- Joined: 2002-06-19 07:06
Re: grsecurity patch -> Prozesse stoppen einfach :(
Du kannst evtl. die PAX Features für die problematischen Binaries mit chpax disablen.
-
blnsnoopy26
- Posts: 660
- Joined: 2002-10-19 14:01
Re: grsecurity patch -> Prozesse stoppen einfach :(
Habe alles nochmal neu kompeliert und im Pax controlzentrum bei excute/exec einfach nicht ausgewählt und nu geht es auch soweit :)