Меню
Что нового?

Опять про взлом сайта на PHP и сессий

Статус
В этой теме нельзя размещать новые ответы.

Norton

Новичок
Опять про взлом сайта на PHP и сессий

У нас недавно произошел случай когда взломали наш сайт. ЛОготип на титульную страницу повесили.
Судя по всему узнали пароль к ФТП. Ну это так, к слову..
После этого хостер написал нам что мол вообе нельзя хранить пароли к MySql базе в php файле. А хранить надо в закриптованной директории.
Я дал ему ссылку в этот форум на топик, где как раз обсуждалась проблема хранения паролей в файлах php.
Там народ говорил что если это пароль не от Пентагона то хранить в файле php можно :)
Отписал хостеру со ссылкой.
Тот дальше долбит что виноваты мы, и проблема в php как в технологии. Мы может и виноваты где то оставив пароль не там, но перечитав тот топик я понял что хранить пасворды от базы таким образом можно и при грамотной натсройке сервера доступ к ним будет только у нас и ясно у хостера. Ну теперь я файл с пассвордами вынес из корня сайта.

Потом с помощью remview , я решил полазить по диску хостера, и нашел там папку tmp с файлами сессий, к которой имеют доступ ВСЕ пользователи. Я мог посмотреть чужие сессии, пароли и логині которые там передавались и прочую инфу. Я думаю, что это не должно быть видно всем.
Хостер говорит, что так и должно быть :(

Вобщем , прошу высказаться прав ли он ? Мне например явно не нравится то что сессии могут смотреть все.
 

anight

Новичок
где-то я видел неплохое решение - как хранить mysql пароли -
в httpd.conf в каждом virtual host находится :

setenv MYSQL_USER=user
setenv MYSQL_PASSWD=passwd

в итоге - httpd.conf имеет root.root и 700 права,
каждый child apache при обработке запроса получает переменные окружения MYSQL_USER & MYSQL_PASSWD разные для каждого virtual host

ну а в скрипте как вы уже догадались - mysql_connect("localhost", $_ENV["MYSQL_USER"], $_ENV["MYSQL_PASSWD"]);

что-то в этом роде

-~{}~ 18.03.04 16:55:

PS. а хостера фейсом об тейбл за такое ламерство
 

Norton

Новичок
Автор оригинала: Romantik
Norton

Родина должна знать в лицо своих "героев"!
Нажмите для раскрытия...
Пока я думаю это преждевременно, я попросил хостера здесь высказаться, может я чего наврал случайно..
 

Norton

Новичок
Автор оригинала: Romantik
Norton
ну в принципе, это уже известно судя по твоему сайту =)))
Нажмите для раскрытия...
Во блин :)
Хочу сказать что это не так. Это НЕ тот хостер.
Этот сайт - я ещё когда только начинал с php работать - создавал, и уже больше года туда не смотрел.. Даже стыдно.. Надо убрать..

Разговор идёт про сайт конторы в которой я работаю :)
 

anight

Новичок
Автор оригинала: trent
ага.. а о phpinfo() никто не курсе? :)
Нажмите для раскрытия...
phpinfo() тебе высветит переменные окружения текущего Virtual Host.
phpinfo() нельзя использовать для получения переменных окружения другого Virtual Host, как в случае у господина Norton
 

Norton

Новичок
Хостер отписал в мыло. Сюда как я вижу и не думает заглядывать.
После очередных наездов что мы сами виноваты во взломе ( да я допускаю что может виноваты, но речь уже идет немного о другом а он дальше упорно долбит одно и тоже.)

Вот небольшая вырезка из последнего ответа.

===============================
MV> Доступ с /tmp Имеют ВСЕ пользователи сервера.

MV> Любая пхп прогрпама будет иметь доступ к данным любой другой пхп прогрпме
MV> потому как все они запускаться под одним и темже пользователем. Изменить тут
MV> нечего заданный момент нельзя. Модуля "суекзек" для пхп на данный момент не
MV> существует, а запускать пхп как cgi опасно впервую очередь перегрузкой
MV> сервера и непредусмотрена разработчиками хостинг системы которую мы
MV> используем.
MV> Если безопасность действительно принципиальна используйте CGI технологию.
==================

Я не силён в безопасности, но мне кажется что и тут он не прав. То есть он и дальше уверен что то что я вижу чужие сессии - это есть гуд.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху