- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
VK приобрела 70% в структуре компании-разработчика red_mad_robot
Которая участвовала в создании RuStore
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Есть одна дыра при "стандартных" конфигурациях сервера, упачкованных cPanel'ю
Если у вас установлен cPanel, поставлен PHP, и выключена опция safe mode, ваш сервер в опасности.
Дело в том, что права на файл списка пользователей системы /etc/passwd может иметь небезопасные права на чтение, и любой пользователь сможет создать скрипт на PHP, с помощью которого можно будет выполнять различные unix/linux команды от имени пользователя nobody.
Вредитель может посмотреть не защищённый от него файл /etc/passwd и узнав имена пользователей, сможет посмотреть содержимое ихних домашних каталогов, в часности файлы типа config.php Откуда можно слизать пароли к базам данных.
В первую очередь, защитите выше упомянутый файл списка пользователей.
По возможности включите safe mod.
Называйте по-другому домашние папки пользователей.
Буду рад, если вам помогли мои рекомендации.
Вот так, примерно, выглядит скрипт:
<?php
$command="cat /etc/passwd";
$command=`$command`;
echo "$command"
?>
При этом, браузер становится пассивной консолью. Тоесть нельзя будет выполнить интерактивные команды.
какая новость )
примитивной защитой будет включение open_basedir
и отключение функций
disable_functions = shell_exec, exec, system, passthru, popen, proc_open, link, symlink, pcntl_exec
ну и обновлять php почаще ( раз в два часа )
да, и ещё отлючить cgi, ssh, cron
Есть одна дыра при "стандартных" конфигурациях сервера, упачкованных cPanel'ю
По возможности включите safe mod.
Ничего подобного. Я могу дать аккаунт на сервер с cpanel где php не в safe_mode - попробуете там полазить. Могу дать сразу ssh доступ :D
да, и ещё отлючить cgi, ssh, cron
Это всё конечно верно, но для исполнения команд используется php. Лучше действиетльно функции отключить.
Andreyka, с Вами/нами то ясно, мы помним о правах, но есть такие хостинги, где эта проблема никак не предупреждена, и никаких профилактик.