- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
В том же форуме конечно нафлудить могут, но что то я сильно сомневаюсь, чтобы под Юниксом где на все файлы устанавливаются полномочия можно было весь сайт взломать.
Ломают и еще как :)
Сайтом управляет CMS - Это скрипты, они, как правило работает из под определенного эккаунта, который имеет определенные права... Т.е. если в скрипте дыра, то можно через эту дыру напихать Shell команд от этого пользователя. Прямо через Web интерфейс, к примеру. и результат туда же будет выводиться.
Т.е. через эту дыру можно поставить на сайт что угодно.
Фактически мы с уровня приложения работаем с опрерационной системой под эккаунтом приложения. К сожалению, юникс не умеет различать эккаунты пользователя, приложения и сервера :(
Теперь мы имеем управление эккаунтом, с возможностью загружать/выгружать данные. О файрволе не беспокойся. Он все пакеты 80 порта пропускает без проблем.
Пользовательский эккаунт, как правило имеет доступ до файла с хешированными паролям, который мы, в свою очередь можем вытащить.
Следующий шаг - натравляем на файл с паролями крекер пассвордов и получаем какой-то результат.... может и админские пароли ломануться.
Теперь у нас есть доступ к куче аккаунтов.
:(
Ломают и еще как :)
Сайтом управляет CMS - Это скрипты, они, как правило работает из под определенного эккаунта, который имеет определенные права... Т.е. если в скрипте дыра, то можно через эту дыру напихать Shell команд от этого пользователя. Прямо через Web интерфейс, к примеру. и результат туда же будет выводиться.
Т.е. через эту дыру можно поставить на сайт что угодно.
Пользовательский эккаунт, как правило имеет доступ до файла с хешированными паролям, который мы, в свою очередь можем вытащить.
Следующий шаг - натравляем на файл с паролями крекер пассвордов и получаем какой-то результат.... может и админские пароли ломануться.
Теперь у нас есть доступ к куче аккаунтов.
:(
Насколько я себе эту кухню представляю, в Юниксе, если скрипт создает новый файл, то владельцем этого файла считается владелец скрипта создателя, то есть файл пользователя nobody не может создать файл, принадлежащий root и если файл принадлежит root, а на нем стоят права RW- --- ---, то прочитать и модифицировать его может только root
Если бы для взлома любого сервера достаточно было права на создание файлов на этом сервере, то это можно было бы сделать через любую учетную запись. Скорее всего проблема не в юниксе, а кривом администрировании.