- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Какой же способ? Выполнить скрипт с правами апача? Так это...
1. апач не может ходить везде по системе.
2. выполнение скрипта в кроне выполняется от имени юзера.
3. если openbasedir не работает, может стоит отписать разработчикам? Это Security-уязвимость в ПО.
4. пхп в режиме сиджиай и любое подобное изменение в хтакцесс приведет к ошибке 500.
6. Вы боитесь давать пользователям шелл? )))
7. Речь идет о повышении привилегий? Судя по вашим словам это так. А, кстати, разве у вас сам апач может выполнять команды? ))).
1. Может, где достаточно у него прав.
2. Это тут вообще не причём.
3. Он на shell-функции никогда не действовал.
4. А незачем ему быть в режиме cgi =)
6. shell у пользователя будет с конкретным юзером, это не страшно. А тут есть возможность смотреть с правами системного юзера.
7. Нет. Не нужны никакие повышения привлигий. Достаточно тех, которые можно получить без проблем.
Повысить привилегии иногда удаётся, но это уже к данной проблеме не относится.
4. А незачем ему быть в режиме cgi =)
Это как? Вы пропишите эту директиву в мой хтакцесс и словите ошибку 500. Я не просто так это говорю...
А тут есть возможность смотреть с правами системного юзера.
Нет. Не нужны никакие повышения привлигий.
Wow. Это как? Противоречит друг другу, не так ли (не верно трактуете безопасность)
3. Он на shell-функции никогда не действовал.
А на все остальное? ;).
Это как? Вы пропишите эту директиву в мой хтакцесс и словите ошибку 500. Я не просто так это говорю...
Wow. Это как? Противоречит друг другу, не так ли (не верно трактуете безопасность)
А на все остальное? ;).
1. Верно говорите. При таком "раскладе" - словлю.
2. Думаете, что нужно обязательно быть рутом, чтобы иметь возможность производить действия, которые не должен иметь возможности делать обычный пользователь?
3. Я уже сказал на что он действует. Он не даёт средствами php обращаться к файлам за пределом своей директории.
Я пока ничего рассказывать не буду.
Himiko, может для прикола проверим на его хостинге? я оплачу его ЛАЙТ =)
Что тут спорит? :D
Какой адрес у него hostace.ru?
Himiko, может для прикола проверим на его хостинге? я оплачу его ЛАЙТ =)
Что тут спорит? :D
Не хочется своё время сейчас тратить.
P.S.: Глянул "на вскидку", что там используется - прокатит на 90% =)
Никаких "cat /etc/passwd" он не запретит запускать.
Ну и что даёт прочтение /etc/passwd? узнали что есть папки /home/any_user и что дальше? Чтоб сделать что то вредное надо знать точное название файла и дополнительно права на том файле должны быть не ниже 666 чтоб иметь возможность что то записать. ls ведь не работает на соседние папки. Кому очень боязно, может запретить exec, делов то....
Чтоб сделать что то вредное надо знать точное название файла и дополнительно права на том файле должны быть не ниже 666 чтоб иметь возможность что то записать.
1. Вообще не проблема.
2. Права 666 даже не нужны.
я бы сказал что в зависимости от панельки - есть шанс, если у человека установлена джумла или другой распостраненный движок, посмотреть по дефолтным путям, к примеру у цпанели /home/username/public_html/configuration.php логин-пароль к бд, подсоедениться туда и сделать бяку :)
Я чето не понял. Имеем директорию:
chown user:user /home/user/web
chmod 710 /home/user/web
Апач выполняется от каждого пользователя.
Как сменить права, чтобы прочесть файлы в этой директории?
Ребята ну что не понятного, проверят вас на дырки в стандартных скриптах которые могут быть установлены да и все, так же поконектятся рутом в ваш SQL, проверят нет ли у вас chmod -R 777 /home вдруг ;) и тому подобное, что можно еще проверять, я задавал вопрос Химико в личной переписке, думал что может у них там Security Team образовывается, даже думал поучаствовать но мне сказали что это не касается системы, багов демонов системы.... но и ответа точного не дали.... как вы совершенно верно заметили, по этому я не думаю, что будет найдено что-то кроме ваших же оплошностей при конфигурации, хотя порой это тоже ой как не мало.
Последняя фраза - в точку. Иногда просто не замечаешь, что есть потенциальная уязвимость, сделанная своими же руками. А так - взгляд со стороны показал если не все, то многие недостатки.
Nanotik добавил 23.12.2010 в 18:32
Репутация на форуме? Не смешите 😂 Все мы знаем, как она достается, вон куча кидал с репутацией 200к+, и что? Химики в виртуализации не дуплит, а обновить phpmyadmin, проверить на права, перекинуть ssh порт - это можно с и гуглем сделать. Я уже работал с ним, никому не советую, поставил мне за доп. плату isp, после очередного обновления панельки - сайты не работали и т.д., говорю мол, что такое, так тот говорит, что за 10!!! баксов поправит, бомж... Ну я заплатил, он поправил, через 2 недели очередное обновление панельки и очередная проблема, пришлось своего админа напрягать, который на ставке, а не к этому обормоту обращаться, который за копейки удушится. Да я понимаю, что это мои проблемы, но когда человек за 10 баксов из штанов выпрыгивает, что мол нет, не буду делать бесплатно, при чем, я у него панельку покупал, он не смог даже ее нормально настроить на обновления до того, а все списывает на isp, что это они виноваты. Тогда зачем продавать панель, которая глючит? Понимаю, что проще списать все на левую контору, но так дела не делаются. Так панельку я же у него покупал, при чем до этого договаривались, что в случае проблем, он БЕСПЛАТНО будет фиксить баги. Ну суть в том, что напоминает кликхост, когда за ребут надо деньги платить. В общем, если нету куда потратить деньги - то обращайтесь к Himiko.
Ах да, Nanotik не удивляйтесь, если ваш сервер после этого аудита взломают, знаете что Himiko скажет? "Ну д так там обновился софт такой-то, там новые дырки в нем, чтобы их залатать - еще 100 $ наверх". 🙅
Да и человек вообще в виртуализации полный ноль.
Сомневаюсь, что человеку, у которого просто купленная репутация, на форуме будут оставлять десятки страниц с отзывами. А то, что денюжку берут за любой чих... Так это правильно - он мне не брат и не свояк, с какой стати ему помогать мне за просто так?
P.S. Как незнание виртуализаций должно сказаться на навыках администрирваония веб-сервера, мне не совсем понятно.....
Nanotik добавил 23.12.2010 в 18:38
Нет, это все самому делать не надо. Но пускать людей со стороны в ИТ-бизнес строго противопоказано любому адекватному хостингу. Более того, любой до единого хостинги, которые пришли не на один день, имеет своих специалистов гораздо более сильных, чем те, кто предлагает на форумах разовые копеечные настройки. Скажем так, человек, который зарабатывает меньше 70-80 тысяч рублей в месяц, рутовый пароль от серверов компании иметь не должен в принципе - это крайне опасно. Потому что уровень такого человека оставляет желать лучшего. Был бы высокий уровень - он бы не осуществлял разовые работы. А потому от ворот ему поворот. При всем уважении к умению вести PR-кампанию.
А если, предположим, хостинг еще не имеет достаточно оборота, чтобы позволить себе качественного админа на постоянную работу за 40-50 тысяч? В этом случае единственный выход - аутсорсинг админа. А где его искать? Только на таких же форумах, как серч, по разделам, аналогичным "Услуги и предложения".