- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта
Применяем отклонение ссылок
Сервис Rookee
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
PHP скрипты могут писать/создавать файлы, т.е. как будто права стоят 777, хотя на самом деле 644. т.е. апач запускается от текущего пользователя и скрипт может делать все что угодно. Я так понял это "фишка" mpm-itk(не сталкивался ранее) но должна ли она так работать (разрешать писать в файлы скриптам). Если выставить права 444 все ок, но тогда по ftp файлы не залить. PHP как модуль Apache.
Все корректно, так и должно быть. В рамках своего пространства пользователь (а скрипт выполняется от пользователя) может делать любые операции, в рамках выставленного значения, в циферке 777 - первая циферка отвечает за права пользователя, т.е. уже при 600 пользователь сможет читать и писать файл.
Проблема в том что по умолчанию при правах 600 php скрипт имеет доступ ко всему нутру сайта(может изменять/создавать любые файлы) - разве это нормально? Мне так через dle залили шел и в рамках одного юзера покоцали и другие сайты которые под этим юзером.
Пофиксилось так:
Вместо "AssignUserID site_web_user site_web_user" - прописал как советовал umercomp "AssignUserID apache site_web_user" и немного изменил права /var/www/site_web_user.
Печально что это приходится делать в ручную, т.к. ISP Manager по умолчанию ставит другие права при добавлении конфига в vhost и получается такой косяк(или фича?)..
Проблема в том что по умолчанию при правах 600 php скрипт имеет доступ ко всему нутру сайта(может изменять/создавать любые файлы) - разве это нормально?
Сейчас считается, что нормально.
От сайта зависит. Вы разве не видели всяких там закачек файлов, самообновляющихся скриптов, конфигураторов?
Хостеры привыкли так делать чтобы не иметь проблем со всеми этими вещами. А вы, конечно, можете сделать как вам нравится.
Проблема в том что по умолчанию при правах 600 php скрипт имеет доступ ко всему нутру сайта(может изменять/создавать любые файлы) - разве это нормально? Мне так через dle залили шел и в рамках одного юзера покоцали и другие сайты которые под этим юзером.
Не надо вешать все сайты под одного юзера. Все корректно, когда скрипт имеет доступ ко всему нутру сайта, а вот права 777 - это совершенно некорректно, так как к этим файлам доступ будут иметь и соседние юзеры тоже.
И не заморачивайтесь шелами, шел загружают через дырку в движке, ничего не мешает взломщикам из php скрипта заюзать функцию chmod и выставить нужные права на любой из файлов, так что все ваши потуги и заморочки напрасны.
Действенное решение от шелов\взломов - это регулярное обновление ПО, в т.ч. движка, а также регулярно делать бэкапы на другой сервер.
Печально что это приходится делать в ручную, т.к. ISP Manager по умолчанию ставит другие права при добавлении конфига в vhost и получается такой косяк(или фича?)..
Разумеется фича. Так правильнее и безопаснее.
От сайта зависит. Вы разве не видели всяких там закачек файлов, самообновляющихся скриптов, конфигураторов?
Хостеры привыкли так делать чтобы не иметь проблем со всеми этими вещами. А вы, конечно, можете сделать как вам нравится.
Все это видел, всегда удивляло зачем открывать такую "дыру", обязательно кто нибудь воспользуется, особенно если движок не свой, а один из известных. Тогда понятно почему столько жалоб на заражения сайтов. Имхо давать php скрипту карт бланш очень опрометчивое решение.. Я привык к тому что изначально все запрещено, разрешаешь запись только туда куда это действительно нужно. Насчет авто-обновлений норм движки поддерживают ftp(в автоматическом режиме обновляют по ftp) и им не требуются такие "широкие полномочия".
Ну конечно, на 20 сайтов создадим 20 пользователей, мега круто и удобно )
Как раз таки очень даже не напрасны и мешают выполнить chmod, вы попробуйте. Если запуск не от владельца чтобы исполнить chmod нужно чтобы были права 666. Ваше мнение ошибочно в данном случае. Даже если заливают шелл, кроме как посмотреть больше ничего не могут сделать. А те каталоги в которые можно заливать из вне(файлы, картинки и т.п.) можно и нужно закрывать от исполнения php скриптов в нем, если в этом нет особой потребности.
Действенное решение не пускать php скрипты "в разгул" с наивысшими правами. Обновление ПО не спасет, каждый день не станешь следить, тем более если сайтов 10-20-30, в итоге это приведет к тому что по факту заражения уже станешь обновлять..
Наверняка в такой политики есть своя логика, открывая одну дыру закрывают другу. Но блин имхо без itk было более секьюрно )
Все это видел, всегда удивляло зачем открывать такую "дыру"
Решение принимали, потому что Панель покупает хостер, а не пользователи. Ему как раз так удобнее.
Раньше самый популярный вопрос от пользователей был связан с chmod.
Насчет авто-обновлений норм движки поддерживают ftp(в автоматическом режиме обновляют по ftp) и им не требуются такие "широкие полномочия".
Да уж пришлось в joomla это сделать. А вообще-то не очень распространено.
За исключением взлома посредством создания файла не там где задумано, web-shell это просто удобный интерфейс для хакера. Но ведь он (теоретически) может просто так код исполнять и содержимое базы на страничку выводить без промежуточных файлов. Так что за что боремся ? Дыры надо по сути закрывать, а не затруднять их эксплуатацию.
Ну конечно, на 20 сайтов создадим 20 пользователей, мега круто и удобно )
есть хорошая английская пословица - не кладите яйца в одну корзину
почему столько жалоб на заражения сайтов
в основном не из-за дырявости движков, а из-за желания "халявных" шаблонов/плагинов
дожились)
Раньше искали способы, как запускать скрипты от пользователя, теперь же наоборот :)
hume, вы просто не понимаете что такое права доступа и как они работают. 666/644/600 это не все что существует. Советую очень внимательно изучить.
А после подумать кем тут выступает Apache, кем PHP, и что вам дают и те и другие права как при обычном модуле Apache, так как и при MPM-ITK.
А главное помните, что на файлы/папки нужно ставить минимально необходимые права и ни на грамм больше!
так и должно работать.
а что бы шеллы и трояны не заливали - необходимо следить за сайтами, обновлять код, накатывать патчи на движки, в этом случае даже chmod -R 777 /home/site.com не позволит злоумышленнику фачить сайт и так и этак.