tak dakujem za rady,
nakoniec som tam dal request na externu url s overovanim validity a este som to cele encodol cez ionCube :)

to ich nauci

Virtualizacia sa nehodi ? Myslim presunut aplikaciu so s tym co treba do virtualu/zony a dat root pristup len tam ? V pripade potreby by si mal kontrolu nad hostujucim systemom.

Pride mi to cistejsie riesenie hlavne v produkcii nez akekolvek hacky.

Dalsia moznost co som uz tiez par krat riesil je uzamknut appku aj s druhym SSHD serverom do chrootu a tam im dam pristup. Jasne nieje to uplne bulletproof ale asi nestojis proti odbornikom na unixove systemy.

1. asi sa na takeho partnera vysrat
2. ak je to webova vec, spravte si k aplikacii maleho binarneho companiona, ktory si bude nejake svoje creva (kod / data) tahat z remote lokacie. treba to nejako obfuskovat asymetrickou kryptografiou aby sa na to nedal spravit replay attack. ak by sa stala nejaka spina, tak ten binarny blob proste vypnete a dovi dopo. ofc binarny companion musi byt uzitocny do takej miery, aby ho neslo jednoducho vystrihnut.

Shitty life is like radiation. You can sustain it for long time if daily doses are small.

Zabudovat do hlavnej logiky aplikacie bombu.

Najlepsie jednu jemnu, ktora len vypise hlasku a odstavi aplikaciu s odkazom na support.

A ked toto patchnu 2 skryte ktore vsetko vyfirebombuju nech sa mily partner poserie.

noooo, zalezi co spravia ked preberu kontrolu, pokial odlifruju data inde tak nepomoze backdoor. Mozno by sa dala spravit daka custom appka co by bola vlastne ssh, ale otazne je ako velmi bezpecne by to bolo voci inym potencionalnym narusitelom.
len tak narychlo ma napada
1. vytvorit userov roznych s menami indikujucimi nieco systemove (lpsched alebo taketo) a dat im sudo access
ak vsak preberu kontrolu tak asi ako prve vyriesia sudo access alebo vseobecne skontroluju security
2. kontrola nad serverom moze byt spolocna ale konzolu mozes mat iba ty, napriklad na vpsfree.cz ti niekto moze kludne zobrat server ale nove heslo na roota si vygenerujes na webovej konzole kde sa rovno aj prihlasis. pokial by to nestacilo staci mat pristup ku konzole a tam po reboote a naslednom single user by sa malo dat menit root heslo(pripadne pokial je tam systemd tak cez recovery), pripadne mat moznost bootnut nejake iso alebo priamo cd/dvd s live distrom z ktoreho vies upravit hesla.
3. nedalo by sa to vyriesit ze by nedostali access na roota ale iba naozaj na to na co potrebuju?

ak budu updatovat system pravidelne tak bezny backdoor asi nepomoze, skor nieco velmi custom co bude fungovat dlhodobejsie
mozno daka "tajna" instancia ssh (pokial bude remorerootlogin no tak potom este nasledne sudo)

ale zaujimavy napad ak to nejak budes riesit tak daj vediet ze ako

edit1: este ma napada ze spravit daku appku ktora bude bezat pod rootom na dakom porte a po prihlaseni sa do appky na tom porte by napriklad prepisala /etc/passwd a ssh config aby sa dalo prihlasit pre teba