Она давно уже выявлена. Тут есть несколько хостеров (не слабых), у кого удавалось получить возможность выдернуть кучу данных с сервера. Им сообщили, всё исправлено.
А про права 777 забудьте. И на файлы конфигурации лучше ставить права 444, nginx'у их читать не нужно.
И что это даст? Вылечит текущий симптом, а не болезнь. Начнут долбить по новым портам и снова закрывать?
При 0444 статика не читается, верно.
Зато при 777 файл можно открыть с другого аккаунта.
У вас стоит nginx. Он должен получать данные о файлах. Полагаю, что он "стандартно" входит в группу юзера, поэтому при правах 777 есть возможность записи в файл с другого аккаунта. Только не говорите про basedir и прочее, что якобы не позволяет это делать. Всё обходится.
Показать метод чтения чужих файлов (а в вашем случае возможна и запись)?В панели ISPManager для сайта выключаем php, тогда AssignUserID (от ITK) не попадает в конфиг виртуального хоста.Добавляем в .htaccess строчку:AddType application/x-httpd-php .php .htm .html .phtmlПри таком раскладе у вас php начинает работать от общего пользователя www-data (www), от которого работает и nginx, т.к. itk не опознаёт пользователя (AssignUserID отсутствует). А пользователь nginx'а может файлы читать с правами *55 и выше.Т.е. прочитать конфигурационный файл почти любого сайта реально, а там доступ к базе. (если только знать путь до файла конфигурации (т.е. только название движка по сути) и администратор не догадался поставить права 444 на файл)
Можете проверить
Himiko добавил 12.11.2011 в 07:08
При том, что ТС и администратор сайта и администратор сервера. А админ сервера должен что-то понимать в безопасности или нет?
Свой мозг включать лучше начните чаще.
Может тогда подскажете, от чего у вас зависит цена?
Начнём с того, что файл с правами 777 каким образом попал на сервер и зачем?
Не стыкуется как-то. Права 777 вообще никогда нормально настроенному серверу не требуются. Это большая "дырка". Да и остальное тоже... включая сам инцидент.
Это вообще жесть... Сервер администрируется видимо вами же?
Ладно взлом одного аккаунта или сайта, но выкладывать в паблик информацию, что ваш сервер не настроен толком - это жесть.
Может лучше стоило администратора нанять, а здесь извиниться, что сайт был взломан?
Искать нужно проблемы на сервере.
А лучше это сразу поручить профессионалам, чтобы исправили проблему, а не симптом. А то и дальше будут взламывать.
Если надумаете обратиться к администраторам, можете написать в web-чат у меня в подписи (круглосуточно).
FairyHosting.com, вы тему читаете?ТС уже написал, что не актуально.
Да и я бы на вашем месте не искал клиентов с подобными требованиями на свой "безлимит". Всем понятно, что полного "анлима" не бывает в природе, а требовательные сайты вряд ли вам подойдут, ИМХО.
Для изменённой услуги это почти не актуально. Ресурсы ограничиваются так, что практически нет возможности помешать другим аккаунтам. Сайт будет просто либо летать, либо подтормаживать, если ресурсов будет явно не достаточно.
До выделеного сервера ТС может "дорастёт" ещё через пол года/год, кто знает.
В сравнении - в десятки раз меньше, а может и сотни.
Какой смысл тратить 500 рублей, если выгонят через неделю? Если можно прийти к вам и взять за 10 рублей? :)
А дешёвые хостинги чуть ли не каждый день появляются. Правда часто и так же пропадают...
