-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
Опять про взлом сайта на PHP и сессий
- Автор темы Norton
- Дата начала
- Статус
ukrhosting
Guest
Мне пришлось по логом все действия горе хакера отследить, он славо богу особой изобретательностью не отличился и не замел свои следи. И уж если я тебе говорю что там лежал твой пароль и через него тебя хакнули то это на 100% так и есть. И риды для всех были иначебы твой скрипт не работал бы вообще. Рассуждать про сессии и дыры ТВ может скока угодно, но не втвоих не в чужих сессиях НЕ МОЖЕТ БЫТЬ твоего ФТП пассворда. И то что ты читаешь чужие данные это тока дыра в чужих программах. Зашиты от дурака ещо не придумали, и если нам прийдеться проверять каждую прогу которую юзера аплоадают на сервер то стоимость хостинга дорастет до небес.
Меня всегда уделяло как смотрят на веши ПХП программисты. Небольшое объяснение почему технология ПХП ущербна изначально по сравнению, например с CGI.
Чтобы запустить сги скрипт серверу (апачу) ненадо иметь прав на чтение файла (тока на запуск) и следовательно вы можете смело гранить там свои пароли и убирать с файлов Рид вообше. То что скрипт запускается с правами пользователя это уже совсем другой разговор.
Для того чтобы запустить пхп скрипт апач его должен ПРОЧИТАТЬ и пропарсить.
Все остальное это заплатка на дыру которая есть по определению. Вы можете конфигурить свое пхп сколко угодно, закрывать чтение чего угодно. Тока не забывайте если как минимум апач может прочитать ваш скрипт то надеться куча прямых и непрямых способов прочитать его другому юзеру хостинга.
Даже если вы увеины что полностью все закрыли то сильно не радуйтитсь максимум через полгода найдеться новая дыра в ПХП, апаче, ФТП, кернеле, опен ссл и ваш сайтец приспокойно можнобудет хакнуть почитавши перед этим какойнибудь хакерский форум.
Относительно зашишеным технология ПХП себя чувствовать тока на виделеном сервере.
Вы не можете написать 100% защииеную от взлома прогу (особенно на ПХП) вы тока можете уменьшить вероятность взлома. Если кто-то утверждает обратное – он вас обманывает, даже в том случае если сам по наивности в это верит.
Разговоры типа бросай своего хостера иди ко мне – "детский сад мой папа сильней твоего от твоего побьет".
Поверьте, мне я в сфере хостинг бизнеса работаю как мин. 7 лет (именно хостинг бизнеса не как самостоятельный хостер) и прекрасно знаю как что конфигурить настраивать вечем дыры что как хакают итд.
ukrhosting
Guest
Вы ошиблись – у файлов юзера нет группы апача. Если это так увас на хостинге то это уже само посебе не секюрно.
А что помешает читать данные не пхп скриптом ?
-~{}~ 19.03.04 11:34:
Да зашиты от дураков нет. ФТП пароль я надеюсь он оттуда забрал.Originally posted by admin
ukrhosting
Т.е. указанные дыры Вами не закрыты до сих пор? :-О
Хорошая позиция
tony2001
TeaM PHPClub
м-да.
за 7 лет не прочесть ман по Апачу и не узнать о настройке РНР..
http://www.securitylab.ru/39645.html
http://www.securitylab.ru/39981.html
http://www.securitylab.ru/41849.html
http://www.php.net/manual/ru/security.index.php (русский перевод появится в течение нескольких дней).
прочитайте.
это лекарство от часто встречающейся болезни "я-всё-знаю".
за 7 лет не прочесть ман по Апачу и не узнать о настройке РНР..
специально для вас:
http://www.securitylab.ru/39645.html
http://www.securitylab.ru/39981.html
http://www.securitylab.ru/41849.html
http://www.php.net/manual/ru/security.index.php (русский перевод появится в течение нескольких дней).
прочитайте.
это лекарство от часто встречающейся болезни "я-всё-знаю".
ukrhosting
Guest
Вы не поняли главного кроме ПХП есть ещо куча других вешей. Вданом случае этому юзеру неодна ваша рекомендация нечем бы не помогла бы. Наетом я предлагаю дискуссию закончить.
tony2001
TeaM PHPClub
>Вы не поняли главного кроме ПХП есть ещо куча других вешей.
ну это везде так.
что ж тут удивительного такого.
>Вданом случае этому юзеру неодна ваша рекомендация нечем бы не помогла бы.
в данном случае ограничение виртуал-хостов по open_basedir && выделение им своих директорий для сессий (session.save_path) && safe_mode вполне бы помогли.
очень жаль, что вы не хотите почитать приведенные мной ссылки.
>Наетом я предлагаю дискуссию закончить.
как вам угодно.
ну это везде так.
что ж тут удивительного такого.
>Вданом случае этому юзеру неодна ваша рекомендация нечем бы не помогла бы.
в данном случае ограничение виртуал-хостов по open_basedir && выделение им своих директорий для сессий (session.save_path) && safe_mode вполне бы помогли.
очень жаль, что вы не хотите почитать приведенные мной ссылки.
>Наетом я предлагаю дискуссию закончить.
как вам угодно.
Irbisus
Guest
>Ув. Irbisus,
>можно поинтересоваться, какую хостинговую >компанию вы представляете?
>так... на будущее... чтобы не напороться.
Не переживайте, напоретесь Я "представляю" как минимум 2000 хостинговых компаний...
И кстати не "подохните", а "подохнете"
Еще раз обращаю ваше внимание на то, что вы не знаете что такое "хостинговые платформы", что они в себя включают и т.д. ФронтПайдж например дырявый по понятиям, что ж мне теперь, запретить его использование? Примеров на самом деле можно привести массу. У вас на сервере, кстати, тоже стоит софт с дырами... Но это так, к слову...
>tony2001
>с и-ми спорить бесполезно
Ну я пока что никого здесь не обзывал...
>можно поинтересоваться, какую хостинговую >компанию вы представляете?
>так... на будущее... чтобы не напороться.
Не переживайте, напоретесь
Я "представляю" как минимум 2000 хостинговых компаний... И кстати не "подохните", а "подохнете"
Еще раз обращаю ваше внимание на то, что вы не знаете что такое "хостинговые платформы", что они в себя включают и т.д. ФронтПайдж например дырявый по понятиям, что ж мне теперь, запретить его использование? Примеров на самом деле можно привести массу. У вас на сервере, кстати, тоже стоит софт с дырами... Но это так, к слову...
>tony2001
>с и-ми спорить бесполезно
Ну я пока что никого здесь не обзывал...
ys
отодвинутый новичок
Irbisus
Странно, вроде 4 года работаете, а не знаете, а может и знаете, но вам лень это делать такие вещи, как:
chroot окружение (jail), где пользователю хоть root'а давай и это не скажется на всей системе, пусть хоть какой-нибудь буратино rm -rf / сделает - значит он себе враг.
backup, надеюсь понятно что это такое? Раз у Вас 5000 пользователей, то наверно машина не p1 166 MHZ и вполне способна в ~2 часа ночи сложить все данные ваших клиентов в отдельное место. И при любом крике о "Взломали помогите" нажать 1 кнопочку и сделать roolback на последний backup .
Странно, вроде 4 года работаете, а не знаете, а может и знаете, но вам лень это делать такие вещи, как:
chroot окружение (jail), где пользователю хоть root'а давай и это не скажется на всей системе, пусть хоть какой-нибудь буратино rm -rf / сделает - значит он себе враг.
backup, надеюсь понятно что это такое? Раз у Вас 5000 пользователей, то наверно машина не p1 166 MHZ и вполне способна в ~2 часа ночи сложить все данные ваших клиентов в отдельное место. И при любом крике о "Взломали помогите" нажать 1 кнопочку и сделать roolback на последний backup .
Irbisus
Guest
А при чём здесь jail? Мы здесь не говорим о защите отдельно взятого сайта, расположенного на отдельно взятом сервере. А знаете ли вы например что такое юзер на хостинге? Видели ли вы хоть когда-нибудь какую-нибудь хостинговую систему внутри? Поверьте настроить сервер для работы на нём к примеру сайта phpclub.ru и всё это раз плюнуть, а вот когда на нём тысячи разных сайтов, да и ещё другие службы, то тут уж поверьте приходиться выбирать между крутой защитой и работоспособностью системы.
Насчёт backups - согласен, это нужно. Но гарантии что будет так как было нет. На не статическом сайте информация может меняться каждую минуту...
Я бы никогда не стал писать в этот форум так как он мне не интересен по понятиям, но в данном случае я в большинстве вопросов на стороне хостера. Есть конечно упущения, но не настолько насколько вы думаете...
Насчёт backups - согласен, это нужно. Но гарантии что будет так как было нет. На не статическом сайте информация может меняться каждую минуту...
Я бы никогда не стал писать в этот форум так как он мне не интересен по понятиям, но в данном случае я в большинстве вопросов на стороне хостера. Есть конечно упущения, но не настолько насколько вы думаете...
ys
отодвинутый новичок
>> А при чём здесь jail?
Я знаю.
Даже использую. Рекомендую, проблемы "Вася видит Петю" отпадают как класс.
>>А знаете ли вы например что такое юзер на хостинге?
5 баллов. "А Вы видели обезьяну на дереве"
Видел, у меня они даже ходят по ssh, а не только ftp.
Кстати, еще по поводу chroot окружения:
не помню кто то сказал: "Если у shell пользователя нет root'a - значит он ему не нужен" .
Я знаю.
Даже использую. Рекомендую, проблемы "Вася видит Петю" отпадают как класс.
>>А знаете ли вы например что такое юзер на хостинге?
5 баллов. "А Вы видели обезьяну на дереве"
Видел, у меня они даже ходят по ssh, а не только ftp.
Кстати, еще по поводу chroot окружения:
не помню кто то сказал: "Если у shell пользователя нет root'a - значит он ему не нужен" .
ukrhosting
Guest
Попробовали бы вы понять что я вам там выше написал, допустим там стояли бы все настройки как вы хотите. Его пароль можно было бы получить запустив скрипит из крона например. Да мололи еще способов. Не хотелось бы, чтобы данный топик стал пособием для начинающего хацкера.
Еще раз всем советую не зацикливаться на ПХП. Зрите в корень проблемы
Всем кто считает, что знает о ПХП то что не знают производители нашей системы могу порекомендовать обратиться к ним лично: www.psoft.net , ониже могут вас и отблагодарить за это
Norton
Новичок
ОК. Допустим лежал, я этого не отрицал с самого начала.
Там ещё и пароль к базе лежал. А почему бы ему в скрипте не лежать ?
Поясню почему . Так было сделано до меня, да я и в принципе ничего не хотел менять, потому что сперва думал что так безопасно, потом перечитал вот этот http://phpclub.ru/talk/showthread.php?s=&threadid=38961&highlight=security
топик и сделал вывод что таки безопасно. Особенно понравилась фраза про пароль к Пентагону
Пароль хранился в скрипте в виде
$db_username="passwordfor_db";
// пароль от ФТП.
Всё равно, как ведь можно читать исходники скрипта другим пользователям при правильной настройке сервера ? Это что получается, все исходники может увидить мало-мальски грамотный хакер ( даже такой неопытный как утверждает ukrhosting) ?
Нет это не тока дыра в чужих программах. Разграничить каталоги для сессий (кстати я тебе это ещё до этого топика помоему писал, что было б хорошо так сделать. Реакции никакой вообще.) не так сложно. Ок. Там может не быть ФТП пассворда, но там могут быть к примеру мейлы и имена которые нельзя видеть другим. Или другая инфа. В любом случае, даже если там один идентификатор какой-то , другие пользователи НЕ должны видеть что там.
Я стараюсь не поддаватся на разговоры такого рода. Кого бросать и куда бежать - решаю не я, а мой шеф.
Не факт что другие хостеры будут более защищены.
Но. мне, как клиенту, больше нравится тот хостер, который когда ему укажут на дыру (культурно, без наездов) , почитает те линки что ему дали, постарается выяснить сперва дыра ли это, объяснить мне тупому клиенту, что это вовсе не дыра, указывая другие источники информации, а не одни лишь фразы типа "Поверьте мне, я семь лет в бизнесе и знаю что говорю" . И не нравятся хостеры, которые не вникнув в суть вопроса, сразу бросаются с пеной у рта доказывать что я неправ, и обвиняя прямым тектсом в некомпетентности и неопытности. Так не должно быть.
Я для себя покупаю другой хостинг ( за 2 доллара в месяц). Там тестирую некоторые скрипты. И что мне там намного больше нравится - это суппорт. А то что там сервера больше в дауне чем у вас - это уже меньше волнует (для таких задач) . Потому как на всё о чем я спрошу ( а это не так и много, где то 1-2 вопроса в месяц) , будет нормальный толковый ответ. Без лишних эмоций.
-~{}~ 19.03.04 22:27:
Это ещё что за басни ?Автор оригинала: Irbisus
Кстати этот ваш примитивный phpRemView не знаю даже на каком хостинге работать будет...
Я вот как раз этим самым примитивным phpRemView, на этой самой HSphere и добрался до tmp с сессиями.
Сразу на выходе он умирает - не спорю, у меня тоже умер, но не до конца, и дальше нажимая на up directory я мог поласть прямо в корневой каталог сервера ну и дальше по каталогам...
ukrhosting кстати говоря, я так понял, закрыл возможность работы phpRemView .
Мне теперь выбивает :
PHP:
Warning: Unknown(/hsphere/local/home/пользователь/путь к программе): failed to open stream: Permission denied in Unknown on line 0
Warning: (null)(): Failed opening '/hsphere/local/home/пользователь/путь к прорамме' for inclusion (include_path='.:/usr/local/lib/php') in Unknown on line 0
Знаете?
А мне нравится этот топик.
Очень нравится.
Особенно нравится реакция товарища urkhosting. Ну это ж надо, быть по уши в дерьме, но продолжать упорно булькать типа "я уже 7 лет настраиваю дырявые сервера".
Давайте переименуем топик.
В "ukrhosting - криворукая дырка".
В назидание потомкам.
А мне нравится этот топик.
Очень нравится.
Особенно нравится реакция товарища urkhosting. Ну это ж надо, быть по уши в дерьме, но продолжать упорно булькать типа "я уже 7 лет настраиваю дырявые сервера".
Давайте переименуем топик.
В "ukrhosting - криворукая дырка".
В назидание потомкам.
ukrhosting
Guest
Я 7 лет работал на писофт (www.psoft.net). Взгляните на этот сайт, посмотрите, чем фирма занимается потом вдумайся то что ты написал.
Нет, лучше что-то типа "Яйца учат куриц детей делать".
Romantik
TeaM PHPClub
Уважаемый ukrhosting
как известно в споре оба виноваты.
И Вам бы просто следовало вникнуть и помочь одному из Ваших клиентов, который Вам платит за это. Уверен число бы желающих, благодаря этому форуму выросло бы. Ведь хостинг выбирают в основном программисты.
А так это просто хорошая антиреклама получилась.
Не думаю, что руководство Вас за это похвалит. Может Вы и правы в чем то, но такой способ решения спора не самый лучший...для Вас!
как известно в споре оба виноваты.
И Вам бы просто следовало вникнуть и помочь одному из Ваших клиентов, который Вам платит за это. Уверен число бы желающих, благодаря этому форуму выросло бы. Ведь хостинг выбирают в основном программисты.
А так это просто хорошая антиреклама получилась.
Не думаю, что руководство Вас за это похвалит. Может Вы и правы в чем то, но такой способ решения спора не самый лучший...для Вас!
- Статус