1. Пример можно? =) Только не говорите про basedir (который вообще никак не урезает возможности) или запрет exec-функций (которые можно выполнить заменить другими функциями).
Вы смеётесь? =) basedir вообще никак не может влиять на shell-функции. Он может только запрещать выход из папки средствами самого php. (инклуды, чтение файлов и прочее). Никаких "cat /etc/passwd" он не запретит запускать.
2. Да ну? =) Ни cgi, ни mpm-itk совершенно никак не поможет. Есть способ их элементарного обхода. Вот в этом "неприятность".
P.S.: у некоторых fastcgi используется, но это ничем не помогло.
В том и дело, что уже до меня кто-то начал пробовать. Поэтому собственно и пытался найти, как они могут это делать.
Главный совет для начинающих хостеров - не храните свой сайт, биллинг и сайты клиентов в одном месте! Это дополнительный риск взлома.
Если злоумышленник получит доступ к файлам сервера, то можно вытянуть базу биллинга. А там список всех аккаунтов и пароли к серверам!
А я этим зарабатываю себе на жизнь. Это моя основная работа, поэтому не вижу ничего "зазорного". Всё скоро будет в паблике. Пока хочется помочь тем, кто хочет себя обезопасить заранее. Т.к. сразу и моментально вопрос вряд ли получится решить.
Предложиние для хостеров, поэтому и тема в данном разделе.
seolancer, может я сам буду решать, что и где "нужно"?
У меня есть своё мнение на этот счёт.
1. Причём тут 20$/час ? Стоимость этой услуги фиксированая, а не почасовая. Всё написано в первом сообщении.
Если не удастся найти у вас проблему, то никто не возьмёт никаких 100$. Об этом было написано.
2. Вымогательство?!? Это если бы я писал тем, у кого проблема возникла. 3-м я произвёл аудит бесплатно и указал на проблемы. Вот если бы просил с них 100$ или там их взломают, тогда было бы вымогательство. А я предлагаю сделать аудит другим людям и естественно я не собираюсь делать бесплатно. Если вам не хочется платить, никто не заставляет.
3. В паблике появилось несколько другое. Там пишут, что mpm-itk как-то решает проблему. Могу сказать, что это не правда. Я в той теме отписывался, можете прочитать.
P.S.: Я знал, что появятся недовольные, которые хотят всё бесплатно и их такие темы будут бесить. Кому что-то не нравится, может пройти мимо.
Могу сказать точно - реально. Но далеко не сразу. Уходит очень много месяцев, пока будет наработана клиентура. Изначально действительно только копейки можно заработать.
Я смотрю, что тут уже написали в теме, что мне якобы не хватает на НГ =)
Это какбэ уже думаю, что всем известно :)
Не подскажете в личку, как вы решили вопрос?
Вы думаете, что на разовых работах нельзя заработать больше этой цифры в 70-80 тысяч рублей?
Himiko добавил 23.12.2010 в 09:27
Что выкладывать в паблик пока несколько опасно (так просто не закрывается), а всем подряд проверять на наличие баги бесплатно - не разумно.
Himiko добавил 23.12.2010 в 10:05
1. Да, верно.
2. Если найдена не будет, то просто заплатите за время работы (20$/час. Примерно часа хватит)
3. Я не предлагаю вам на 100% все возможные дырки найти (там могут быть такие, которые ещё просто не известны). Я предлагаю проверить на конкретную уязвимость и попутно посмотреть на основные известные уязвимости.
Я уже об этом думал =)
Но портить не в моих правилах, а помагать им не хочется =)
Могу сказать, что никакого отношения ни к exim, ни к ftp, ни вообще к версиям ПО, в принципе проблема не имеет.
И ничем в данной ситуации не поможет)
