# [Risolto] [Apache] dubbio/anomalia su USE flags -no-suexec%

## taiger

Buon giorno

ho 2 macchine, una di svliluppo/test e  una di produzione.

Le due macchine sono costantemente allienate, sia per i files di configurazione che per i binari.

(L'unica differenza è che sulla macchina di svlipuppo c'è mysql 5 e su quella di produzione il 4)

Mi sono accorto che con il comando:

```
emerge -pv apache
```

sulla macchina di sviluppo ho questo output:

```

[ebuild   R   ] net-www/apache-2.0.58-r2  USE="apache2 ldap ssl threads -debug -doc -mpm-itk -mpm-leader -mpm-peruser -mpm-prefork -mpm-threadpool -mpm-worker (-selinux) -static-modules (-no-suexec%)" 4,652 kB
```

sulla macchina di produzione ho questo output:

```
[ebuild   R   ] net-www/apache-2.0.58-r2  USE="apache2 ldap ssl threads -debug -doc -mpm-itk -mpm-leader -mpm-peruser -mpm-prefork -mpm-threadpool -mpm-worker (-selinux) -static-modules" 4,652 kB

```

la differenza è in -no-suexec% da cosa puo' dipendere?

Grazie,

AlessandroLast edited by taiger on Fri Mar 16, 2007 6:52 pm; edited 1 time in total

----------

## Scen

Quel (-no-suexec%) vuol dire che al momento dell'installazione quell'ebuild aveva quella USE flag disponibile, mentre adesso no. Nella seconda macchina probabilmente non ti compare poichè hai installato apache DOPO la rimozione di quella USE dall'ebuild.

http://sources.gentoo.org/viewcvs.py/*checkout*/gentoo-x86/net-www/apache/ChangeLog

 *Quote:*   

> 
> 
> 20 Sep 2006; Michael Stewart <vericgar@gentoo.org>
> 
>   apache-1.3.34-r10.ebuild, apache-1.3.34-r11.ebuild,
> ...

 

----------

## taiger

grazie mille

ho messo questo post perchè ho un problema che non riesco proprio a risolvere.

Sulla macchina di produzione non riesco più a vedere le statistiche awstats.

Riportando tutto sulla macchina di sviluppo funziona tutto, sulla macchina in produzione niente da fare. Le sto provando tutte.

L'unica differenza era quel flag, non avevo ancora capito cosa indicasse li simbolo %

ho già aperto un topic in Networking & Security senza successo

https://forums.gentoo.org/viewtopic-t-544831-highlight-awstats.html

i log mi danno sempre questo errore:

```
(13)Permission denied: exec of '/usr/share/webapps/awstats/6.5-r1/hostroot/cgi-bin/awstats.pl' failed

Premature end of script headers: awstats.pl 
```

Qualche idea.

Grazie.

Saluti Alessandro

----------

## LastHope

Si direbbe comunque un problema di permessi prima di tutto...

Prova a guardare se il consiglio qui indicato ti è utile  :Smile: 

http://www.howtoforge.com/forums/archive/index.php/t-486.html

Ciao a tutti

LastHope

Edit: cercando su google ho comunque trovato altri consigli interessanti (e forse possibili cause):

http://forum.swsoft.com/showthread.php?s=&threadid=23954

----------

## taiger

 *LastHope wrote:*   

> Si direbbe comunque un problema di permessi prima di tutto...
> 
> Prova a guardare se il consiglio qui indicato ti è utile 
> 
> http://www.howtoforge.com/forums/archive/index.php/t-486.html
> ...

 

Grazie mille, ma questi posto li avevo già letti   :Sad: 

Sono quasi disperato, ho rigirato tutto , permessi, spostato directory, sovrascritto tutti i file di configurazione con quelli che ho sulla macchina di produzione dove funziona tutto.

Ho ricompilato apache, perl, reinstallato da capo awstats.

Le ho provate proprio (quasi?!) tutte.

La cosa tragica è che ha funzionato tutto per più di un anno. 

Poi senza aggioramenti diretti su apache o perl  ha smesso di funzionare.

L'unica cosa è che c'è stato un riavvio della macchina (cosa che avviene molto/molto di rado) più o meno in concomitanza con questo malfunzionamento.

Boh,

Scusate lo sfogo...    :Wink: 

 :Laughing: 

ma già domani mattina mi aspetto le telefonate dei clienti che cominciano ad incazzarsi    :Rolling Eyes: 

Ciao

----------

## taiger

potrebbe essere un malfunzionamento dovuto ad un hacker?

seconda anomalia, dopo il riavvio di ieri non parte neache postgresql , anche questo con un permission denied

```
/etc/init.d/postgresql start

 * Starting PostgreSQL ...

/sbin/start-stop-daemon: Unable to start /usr/bin/postmaster: Permission denied (Permission denied)                                 [ !! ]
```

----------

## drizztbsd

 *taiger wrote:*   

> potrebbe essere un malfunzionamento dovuto ad un hacker?

 

un hackeraccio (si dice cracker) cattivo  :Evil or Very Mad:  ?

cmq controlla se /usr/bin/postmaster è +x (ls -l /usr/bin/postmaster)

per caso usi hardened selinux o grsec?

----------

## taiger

 *Drizzt Do` Urden wrote:*   

>  *taiger wrote:*   potrebbe essere un malfunzionamento dovuto ad un hacker? 
> 
> un hackeraccio (si dice cracker) cattivo  ?
> 
> cmq controlla se /usr/bin/postmaster è +x (ls -l /usr/bin/postmaster)
> ...

 

con questo comando :

ls -l /usr/bin/postmaster

 *Quote:*   

> lrwxrwxrwx 1 root root 8 Mar 15 10:24 /usr/bin/postmaster -> postgres

 

e ho installato postgresql con:

```
[ebuild   R   ] dev-db/postgresql-8.0.12  USE="kerberos nls pam perl python readline ssl xml zlib -doc -pg-intdatetime (-selinux) -tcl -test" 0 kB
```

non uso selinux... (anche se prima o poi lo farò)

funzionava tutto da molto tempo, 

ma chiedo: ci sono stati aggiornamenti particolari su PAM?

Grazie

P.S. grazie per la precisazione su hacker/cracker, avevo dimenticato l'importanza

----------

## djinnZ

se hai un dubbio installerei shamain o qualche altro prg in forensics per verificare che non ci siano stranezze, qualche script kiddie lo si becca sempre (se becco il decerebrato che mi rompe le tasche a forza bruta è la volta buona che vado in galera) persino sulle connessioni "normali".

i permessi di postgres invece quali sono?

Non è che hai var montata noexec?

Per caso hai modificato qualcosa in passwd/shadow/groups?

Hai krb4 attiva? (ci sono dei problemi con kth-krb)

prova con findcruft a vedere se non ti è rimasto qualcosa da una precedente versione.

 *Quote:*   

> non uso selinux... (anche se prima o poi lo farò)

 

 :Shocked:  auguri.

----------

## taiger

 *djinnZ wrote:*   

> se hai un dubbio installerei shamain o qualche altro prg in forensics per verificare che non ci siano stranezze, qualche script kiddie lo si becca sempre (se becco il decerebrato che mi rompe le tasche a forza bruta è la volta buona che vado in galera) persino sulle connessioni "normali".

 

ho fatto girare rkhunter, e non ha trovato nulla di anomalo

 *Quote:*   

> 
> 
> i permessi di postgres invece quali sono?
> 
> Non è che hai var montata noexec?
> ...

 

il mio fstab è molto semplice

```
# <fs>                  <mountpoint>    <type>          <opts>          <dump/pass>

# NOTE: If your BOOT partition is ReiserFS, add the notail option to opts.

/dev/sda1               /boot           ext2            noauto,noatime  1 2

/dev/sda3               /               ext3            noatime         0 1

/dev/sda2               none            swap            sw              0 0

/dev/cdroms/cdrom0      /mnt/cdrom      iso9660         noauto,ro       0 0

#/dev/fd0               /mnt/floppy     auto            noauto          0 0

# NOTE: The next line is critical for boot!

proc                    /proc           proc            defaults        0 0

# glibc 2.2 and above expects tmpfs to be mounted at /dev/shm for

# POSIX shared memory (shm_open, shm_unlink).

# (tmpfs is a dynamically expandable/shrinkable ramdisk, and will

#  use almost no memory if not populated with files)

shm                     /dev/shm        tmpfs           nodev,nosuid,noexec     0 0
```

 *Quote:*   

> Per caso hai modificato qualcosa in passwd/shadow/groups?

 

anche io ho pensato a questo, allora ho cancellato l'utente postgres, e ho fatto di nuovo emerge di postgresql, così da fargli riaggiungere in automatico l' utente/gruppo.

Il problema non si è risolto.

 *Quote:*   

> Hai krb4 attiva? (ci sono dei problemi con kth-krb)

 

dopo questo tua segnalazione o tolto la useflag "kerberos", che comunque non usavo, 

ho ricompilato ma ancora niente

 *Quote:*   

> prova con findcruft a vedere se non ti è rimasto qualcosa da una precedente versione.

 

nessun file postgres obsoleto.

Grazie per le molte dritte.

Un ultimo elemento è che ora postgres gira, perchè ne ho compilato una versione a mano e l'ho lanciata a mano come utente postgres.

Questo mi fa pensare che ci sia proprio qualcosa di strano nel sistema/ambiente gentoo.

Ora provo a disabilitare anche PAM.

Ciao e grazie ancora

----------

## taiger

ho fatto emerge di postgresql e spostato la directory dei dati per postgresql.

Lanciando la configurazione:

```
x2 local #  emerge --config =postgresql-8.0.12

Configuring pkg...

 * Creating the data directory ...

 * Initializing the database ...

 * QA Notice: USE Flag 'kernel_linux' not in IUSE for dev-db/postgresql-8.0.12

/bin/bash: /usr/bin/initdb: Permission denied

 *

 * You can use the '//etc/init.d/postgresql' script to run PostgreSQL instead of 'pg_ctl'.

 *

```

Sempre più ingarbugliato.

 :Rolling Eyes: 

----------

## drizztbsd

 *djinnZ wrote:*   

> se hai un dubbio installerei shamain o qualche altro prg in forensics per verificare che non ci siano stranezze, qualche script kiddie lo si becca sempre (se becco il decerebrato che mi rompe le tasche a forza bruta è la volta buona che vado in galera) persino sulle connessioni "normali".
> 
> 

 

In teoria c'erano anche diversi worm del genere, che provano admin:admin root:root etc

----------

## djinnZ

 *Drizzt Do` Urden wrote:*   

>  *djinnZ wrote:*   se hai un dubbio installerei shamain o qualche altro prg in forensics per verificare che non ci siano stranezze, qualche script kiddie lo si becca sempre (se becco il decerebrato che mi rompe le tasche a forza bruta è la volta buona che vado in galera) persino sulle connessioni "normali".
> 
>  
> 
> In teoria c'erano anche diversi worm del genere, che provano admin:admin root:root etc

 

Magari... Sta a provare su "Administrator" password casuali il bestia (almeno l'ulitima volta che ho fatto la prova con il modem era così), non è che mi preoccupa che possa entrare è che il mio router è un tantino una ciofeca e se lo bombarda di richieste sulla porta 80 o su quelle SMB si blocca e devo andare a spegnerlo.

Anche se l'idea di un worm nella cloaca di rete di uno dei miei stradannati colleghi non è da escludere, non ci avevo pensato,  ho anche a mente il soggetto (mi collegai dal suo studio sull'ftp una volta).

Nel caso latitassi troppo a lungo pensate ad una colletta per mandarmi una stecca di sigarette in cella.   :Laughing: 

@taiger

problemi non dovresti averne quindi. Non c'è la certezza assoluta (come potrà sempre cadere un meteorite gigante che ci estingua, le probabilità sono nello stesso ordine) ma almeno gli script kiddie e gli hàchérr li puoi escludere. E non credo che un vero cracker abbia da perder tempo a farti dannare in questo modo.

Se non ti serviva il kerberos hai fatto bene ad eliminarlo ma il problema che avevo riportato era specificatamente legato a krb4 che attiva kth-krb che su alcuni sistemi e con elevata ottimizzazione o non riesci a compilarlo o funziona male bloccandosi.

Più che pam mi sembra un problema di sudo se è installato. Si direbbe che il substitute non funga. (e qui non ho idea del perchè)

Ma postgres non doveva essere un utente nologin?

----------

## taiger

l'ultima nota della  saga

 *Quote:*   

> 
> 
> x3 ~ # /etc/init.d/apache2 start
> 
>  * Caching service dependencies ...                                                                                                 [ ok ]
> ...

 

aiuto!!!

sto lanciando emerge -e system

ma sono alla frutta.

----------

## makoomba

posta

```
ls -ld / /usr /usr/bin
```

----------

## taiger

```
x3 ~ # ls -ld / /usr /usr/bin

drwxr-xr-x 18 root root  4096 Mar 14 21:49 /

drwxr-xr-x 13 root root  4096 Dec 12  2005 /usr

drwx------  2 root root 16384 Mar 16 12:48 /usr/bin

```

considera che ho dato emerge -e system  questa mattina

grazie

----------

## Dun

Guarda cosa mi da a me  :Wink: 

```

drwxr-xr-x 20 root root   464 2007-03-02 20:29 /

drwxr-xr-x 20 root root   560 2007-01-17 14:44 /usr/

drwxr-xr-x  2 root root 83984 2007-03-15 20:08 /usr/bin/

```

----------

## taiger

porca miseria!!!

come si fa a vedere chi l'ha fatto?

E' una possibile azione da cracker? una vulnerabilità? (permettimi la battuta: Sicuramente è una makoomba!)   :Wink: 

ho dovuto dare l'account ad un tipo della webfarm per installare il software di backup Tivoli, a questo punto puo' esser stato lui?!?

nella history i suoi comandi non ci sono più.

beh, grazie mille, 

ne sto venendo a capo spero...

----------

## Dun

Basta un chmod sbagliato  :Very Happy: 

----------

## taiger

lo so lo so

ma ora funziona tutto di nuovo  anche le statistiche di awstats.

Devo invitare a cena makoomba!

Makoomba ti devo una cena!

Ciao

----------

## makoomba

 *taiger wrote:*   

> Makoomba ti devo una cena!

 

una birrozza mi basta, se capita  :Wink: 

ps

aggiungi il tag [risolto] al titolo del topic

----------

