- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
asmakovec2, во всех папках есть htaccess ? Например в папке sape ? Или /engine/ или /engine/classes/ ну и так далее ?
asmakovec2, во всех папках есть htaccess ? Например в папке sape ? Или /engine/ или /engine/classes/ ну и так далее ?
Ну так и не во все же папки можно залить шелл.
Мне вот например недавно заливали шелл в папку с шаблоном, в папку со стилями. Удалили htaccess, и залили шелл.
Запустить шелл с папки с шаблоном невозможно пока не удалишь htaccess. А что бы удалить htaccess нужно запустить шелл. Значит htaccess удалили либо через соседей на хостинге либо через FTP.
asmakovec2, вот я и говорю, что Вы не до конца понимаете о чем речь, и поэтому Вам кажется что именно через соседей заливают :)
А права на файлы небось 777 были? :)
А права на файлы небось 777 были? :)
Если скрипт запускается от имени пользователя, то любые хоть какие права ставь. Со своего аккаунта можно редактировать и заливать что угодно. Если от имени apache, то тут права помогут.
Если скрипт запускается от имени пользователя, то любые хоть какие права ставь. Со своего аккаунта можно редактировать и заливать что угодно. Если от имени apache, то тут права помогут.
Да как сказать......
Я со своего ака, не смог записать изменения в фаил, с недостаточными правами!
Как бы для владельца то тоже можно права ограничить, если фаил не редактируете постоянно.
Да как сказать......
Я со своего ака, не смог записать изменения в фаил, с недостаточными правами!
Как бы для владельца то тоже можно права ограничить, если фаил не редактируете постоянно.
Хороший web-шелл под правами пользователя НЕ apache - это сделает без проблем.
Хороший web-шелл под правами пользователя НЕ apache - это сделает без проблем.
Под правами пользователя, много чего можно сделать.
Вот только как вы его запустите под правами пользователя, если у вас этих прав нет?
Я честно не хакер и спорить не совсем компетентен в этом вопаросе, но все таки:
фаил .httaccess, это фаил настроек сервера.
Соответственно, ломать его, фактически означает ломать сервак.
Знаете, если бы это делалось простым заливанием вредоносного кода, через дыру в какой нить форме ввода, то аккаунты ломали бы через раз.
Я вот честно в это не верю и считаю, что если хостер адекватный и настройки Apache в плане безопасности нормальные, то хоть какие дыры в движке будут - сервак этим не сломать.
Поэтому и виноват тут скорее всего недобросовестый хостер, у которого дыры имеются.
А возможно ТС, просто сам свой пасс просрал, например в TotalCMD, качнул вирусняк какой нибудь на комп где пароли храняться.
Под правами пользователя, много чего можно сделать.
Вот только как вы его запустите под правами пользователя, если у вас этих прав нет?
Залить в аккаунт и запустить. Скрипт будет выполняться от имени пользователя.
Чтобы избежать этого - нужно не допускать заливки подобных шеллов. Это даже рекомендуют популярные и профессиональные хостинги.
Не знаю, трудно спорить, но у меня на хостинге, доступ к .httaccess, можно получить только через FTp, даже через аккаунт невозможно.
И опять же, как через Шелл, можно устанавливать UNIX права на фаилы и папки??