Комментарии - set-host - Профиль вебмастера - Форум об интернет-маркетинге

17 апреля 2011, 17:30

globalmoney:
Похоже уже кто-то попробовал, т.к. сайт хостера лежит.

Нет, я делаю щас некоторые работы на сервере.

17 апреля 2011, 15:46

Himiko:
Радует, что вы адекватно воспринимаете критику.
Мой совет - если в вопросах безопасности не сильны, обратитесь к специалисту, чтобы плохо не закончилось. Это мы тут советуем, а другие могут сразу пробовать ломать и есть шансы, что получится.

Да, вы правы. Будет уроком. Займусь безопасностью сервера.

set-host.ru - цены от 15р.

17 апреля 2011, 15:40

Himiko:
Для начала - установить корректные права и заставить сайты работать под аккаунтами их владельцев. (mpm-itk как один из вариантов).В данный момент всё работает от юзера Apache и вы "заставляете" пользователей ставить на папки права 777, чтобы скрипты могли в них писать. (а эти права позволят писать туда любому). И если юзер Apache может прочитать файл, то и любой другой сайт сможет. (т.к. другой сайт тоже запустится от юзера Apache). Т.е. взломав один сайт, можно и другие аккаунты затронуть.

Спасибо понял), блогадарен всем за полезную информацию.

set-host.ru - цены от 15р.

17 апреля 2011, 15:36

Himiko:
Да вот не верно вы понимаете. Сервер должен быть настроен так, чтобы даже без запрета функций нельзя было навредить.

P.S.: Вот вы запрещаете просмотр UID/GID, а они в phpinfo светятся тоже. Просто запретами вопрос не решить. Вот я на вскидку знаю несколько функций, которые потенциально опасные. Нужно вопрос безопасности решать, а не пытаться сделать не возможным пользоваться "дырками".
Вот если сервер настроен безопасно, то запреты нужны "на всякий случай", а не в виде единственных мер.

И какие варианты вы предлагаете?

set-host.ru - цены от 15р.

17 апреля 2011, 15:32

Himiko:
Зато функций много запретили) Смотрите... часть функций может быть безобидным скриптам необходима.

Ну если не сделаю, то безопасность будет сервера плохая.

set-host.ru - цены от 15р.

17 апреля 2011, 15:31

Den73:
у меня ящик несуществующий был, я не подумал что в вашем биллинге может не быть кнопочки входа в isp без ввода логин/пароль.

Создайте тикет, и вам туда напишут данные.

P.S: Рад что тут адекватные люди.)

set-host.ru - цены от 15р.

17 апреля 2011, 15:26

ware:
Den73, не хотите проверить, есть ли на самом деле у него Apache ITK-MPM?
Если что, у меня в запасе есть шеллы :)

Apache ITK-MPM походу нет,я ща проверил. Просто Администратированием серверов занимаюсь не только я. Прошу не заливать всякие шеллы и т п. Буду испровлять.

set-host.ru - цены от 15р.

17 апреля 2011, 15:25

Himiko:
Можно ссылку на phpinfo(); ? Думаю, что и клиентам будет интересно, какие модули php вы установили на сервер

http://billing.set-host.ru/phpinfo.php

set-host.ru - цены от 15р.

17 апреля 2011, 15:24

Den73, вам не пришли данные?

set-host.ru - цены от 15р.

17 апреля 2011, 15:20

Apache MPM-ITK есть. Администратор я, но есть человек который работает support.

Дзен реализовал для авторов возможность вывода денег через СПБ

Что делать, чтобы попасть в ответы Google Bard

set-host