ハッキングの試み、「アパッチ」ユーザの下で実行中のプロセス

Question

は、我々のシステムは、apacheのシステムユーザ下で実行されているローカル・プロセスからのハッキングの試みを阻止しました。

Process not allowed. 

{ 
"USER": "apache 16", 
"PID": "617", 
"%CPU": "0.0", 
"%MEM": "0.0 80", 
"VSZ": "556 3", 
"RSS": "904", 
"TTY": "?", 
"STAT": "S", 
"TIME": "0:00", 
"COMMAND": "curl -v -u -d yyyy http://127.0.0.1:xxxx/" 
} 

どのようにして、apacheユーザーはカールを実行できますか？

/etc/passwdファイルから：

apache:x:48:48:Apache:/var/www:/sbin/nologin 

は、任意のコマンドを実行しているから、このブロックapacheのべきではないのですか？

することは私たちは、SELinuxが強制ではCentOS 6.7（最終）を放出実行されています。

Answer 1

あなたはコマンドを実行するシェルを必要としません。 Apache自体またはコード内に脆弱性が存在する場合、攻撃者はapacheユーザーとしてコマンドを実行できます。例えば

、Apacheは次のコードを実行すると仮定：

<? 
    passthru($_GET["cmd"]); 
?> 

を介して送信されたコマンドがパラメータcmdはApacheユーザーによって実行されるであろう。 Apacheユーザーがコマンドを実行できなかった場合は、Apacheサーバーを実行したり、スクリプトファイルを実行したりすることができませんでした。

Answer 2

/sbinに/ nologinにはちょうどあなたがログイン時にシェルを取得することはできませんを意味します。これは、シェルの直接アクセスを防ぐためです。 あなたはまだでは

のsu -s "/ binに/ shの猫/ etc/passwdファイルの" Apache

、同じユーザーとして "nologinの" を有することを使用してスクリプトを実行する可能性がありますが、私が提案してログインしますサーバー上のサーバーとWebアプリケーションを監査します。このよう 、リモートでコードが実行される（RCE）の脆弱性、ハッカーが既に他のいくつかの脆弱性を悪用し、一部のWebアプリケーションでweb shellをアップロードして、より多くの権限を取得しようとしていた可能性がある可能性があります。