я вот этут ситуацию подразумевал:
из jail исходящие на ружу, если вдруг понадобится что-то типа file(http://сайтег) или curl / socket - получит ответ ? насколько я помню не получит, а у них там sape-ру наверняка или подобное имеется, требующее исходящих коннектов наружу...
из chroot точно с этим проблем не возникнет .. а лишнее можно можно прикрыть на основной системе по id user из под которого в chrootе все живет ..
надо ли... от параноии помогает, по крайней мере если поломают что-то дальше апача - то восстанавливается система на раз-два.
*
😡 непонятно, за что меня натыкали в тыковку ну да ладно. странные люди ... поэтому все остальное в мануал 😡
зы: в этой ветке есть народ, который может подтвердить , что я не даю бесполезных советов. просто, как я понял, не всем спрашивающим советы нужны.
если они админы - нафига бы им фитипи :-)
скорее уж тогда рута уперли,
1 last и посмотреть откуда были коннекты
2 закрыть ssh фаерволом от всех кроме себя на всяк случай ...
grepнуть по пути логи фитипишиные особенно в части поста файлов с вирусом...
не все хостеры знают, что файло даже залитое пд рутом в папку с правами на запись группе, убивается любым из этой группы :-)
я когда то сам был ошарашен
файло от рута в паке юзера, права на папку -принадлежат узеру, права на файл - только руту.
узер не может открыть файло на запись.. но **, зато может ему rm сказать, рм ругается - типа "оно не твое ж" ...но стирает :-)
отсюда второй вывод - "свое" не лить на того же апача где клиенты
у жайла изначально нету возможности оут коннектов, не всегда оно лучше в жизни то...
просмотр логов апача не прояснил ситуацию?
я так понял пеха у вас модулем, и все папки доступны на запись всем как минимум от имени апача...
потому как я не хостер... могу посоветовать сделать так (собственно лишним в любом варианте не будет) :
раз у вас нет желания\возможности сделать пеху сэгэайкой , чтобы она исполнялась под определенным узером (ну типо длякаждого акка свой) .. поделите для начала аккаунты на несколько частей - которые "ломают -тоесть где появляются проблемы), которым не нужны исходящие коннекты, и все остальные. биндите эти сборки на 127 0 0 1 (2 3 4 5 6 ) сколько вам их там понадобится, биндите эти апачи чрутенные на эти 127*, на каждом заводите пачку виртуалхостнеймов.
делаете chroot, в него кидаете комплект софта и юзеров. делите по хостнейму нгинксом просто тупо проксированием в зависимости от запроса хостнейма.
получаете как минимум вероятность ломания в разы меньше = то что было поделить на количество чрутченных систем.
ставьте мод секур, пишите им все данные POST. если есть клиенты которым пост не нужен - блокаете на нгинксе не допуская вообще к апачу.
елси есть есть vip пользователи - выносите их в отдельный chroot.
мониторьте логи проблемных сайтов. фильтруйте пост и гет запросы с фразами хотя бы откровенно опасными типа http ftp:// wget curl -я бы порекомендовал это делать до апача например прямо в нгинксе.
определитесь с аккаунтами на предмет -кому нужен исходящий коннект а кому нет. всем кому не нужен - запретите фаерволом. фря вполне умеет делать deny tcp out по ID узера
поделите их.
вообще делеать паблик на модПхп не стоит.
хотя ... по моему в последних апачах чтото было про проверку принадлежности файлов , если память на беглый годовалый просмотр не изменяет - то апач не даст писать в папку не принадлежащуй юзеру.. полистайте на предмет ИДтрак или чтото в этом роде
может чтото и выловите.
ну для начала как минимум сравнить время модификации этого файла с логами апача и прчего софта (фитипишник, лги крона) за это время.
>было их выключать из сети, чего с некоторыми машинами делать было нельзя.
>После этого необходимое оборудование было заказано и уже через 12 часов было практически у нас, но >случилось непредсказуемое и наши деньги, которые были дополнительно выделены на оплату поставщикам
странные отношения с датацентром ....
мне когда необходимо железка , которой нет в дц - дц по моей просьбе за свой счет ее быстренько покупает, ставит, включает, отписывает тикет или звонком уведомляет что "готово" и добавлет ее стоимость в счет следующей месячной платы .. причем железо уже работать начинает и им занимаются техникии, а бумажками занимаются специальныо обученные люди, которые не тормозят процесс запуска железяк
а не так, что типа "я не ебее чтото заказываю, оплачиваю и потом гадаю - проплатилсоь ли, привезли ли, и " и прочий бред..
а описанная ситуевина у меня бывает только в раше - есть технологическая площадка (по простому отдельный кабинет на площадке "провайдера") в которой все оборудование, кроме проводов до кабинета, мое - вот там да - сам принеси сам поставь сам запусти... более того, в тот кабинет ни у кого из работников дц нет права входа.
что-то как-то совсем по-децки отмазываются..... или у клихоста там тоже собственное оборудование живет , что они распианые в "отмазе" телодвижения совершают?
я не хостер :-) под конторские проекты просто пара стоек в сумме
понимание оно обычно в результате практики приходит ,а если не приходит то, или отруливают те кто умеет, или решение как реализовывать меняется на более понятное
ищем логи и смотрим на что оно сругалось - мускуль не стартанул
странное поведение ...
стучись в аську, а то форум весь заспамим :-)
я не помню как он себя ведет при отсутствии перменной для темпа.
ну пропиши - лишним не будет
в файле my.cnf
скорее всего гденибудь или где базы лежат находится. или в етц ( не помню я ваших линухов)
в секции [mysqld]
skip-locking
skip-innodb
skip-ndbcluster
tmpdir = /tmp
и проверь есть ли место
df -h /tmp
первая цифра должна быть больше второй хотябы на 35 мегабайт :-)
чтото типа
Filesystem Size Used Avail Capacity Mounted on
/dev/ad6s1d 29G 228M 27G 1% /tmp
только цифры мельче у тебя будут