Как спастись от инклуда моих конфигов собратьями по хостингу?

[BB Footy]

Как спастись от инклуда моих конфигов собратьями по хостингу?

Cмотрел как в phpBB делается:
в основных файлах, т.е. кот. cами все инклудят, опред.
некоторая константа, в конфигах да вообще в любых
файлах, которые предназ. для вставки куда-либо испол.
такая конструкция:
if ( !defined(YOUR_CONST) ) exit('Hacker attempt');

Cмотрел как в php-nuke'е делается:
смотрят что в переменной $PHP_SELF
if (eregi("admin.php", $PHP_SELF)) {
die ("Access denied.");
}
Какие способы еще есть? Да и вообще есть ли, если у
файлов права r-x для nobody выставлены и можно не
инклудить, а прочитать все?

 

[Crazy]

Друг мой, ты совершенно неверно понял, зачем это делается...

 

[aZa]

А сосбтвенно какие-нибудь конструктивные комментарии?.. Мне тоже очень было бы интересно.

 

[Crazy]

Конструктивные комментарии о чем?

Проблема поставлена одна. Код -- про другое. ЧТО здесь конструктивно комментировать?

То, что клиенты хостинга должны быть изолированы друг от друга, а если это не так, то с хостинга надо бежать без оглядки?

 

[aZa]

Как можно проверить изолироаны ли клиенты друг от друга на хостинге?...

 

[Crazy]

Завести второй аккаунт и проверить экспериментально. Обычно это обходится в $5-20, а то и бесплатно -- многие хостеры предоставляют пару недель для ознакомления бесплатно.

 

[aZa]

а по-подробнее?.. что конкретно нужно делать после того, как завел второй аккаунт?

сорри за туповатые вопросы, но я действительно мало что в этом деле смыслю, а хотелось бы разобраться.

 

[Crazy]

Автор оригинала: aZa
а по-подробнее?.. что конкретно нужно делать после того, как завел второй аккаунт?

Сделать include/require на файл с другого аккаунта по с указанием полного пути.

 

[aZa]

include "/www/someuser/.htpasswd"; ???
.... разве такое бывает возможно? а что собственно нужно сделать провайдеру хостинга, чтобы закрыть такую дырку?

 

[Crazy]

Автор оригинала: aZa
include "/www/someuser/.htpasswd"; ???

Типа того.

 

[LaYt]

настроить safemode...

 

[Yurik]

1. Поставить Апач2 + mpm_perchild (нестабильно)
2. open_basedir спасет отца ......

 

[si]

. Поставить Апач2 + mpm_perchild (нестабильно)

совсем не стабильно, с prefork даже РНР нестально работает, а чтобы он в threaded когда-то будет стабилен верится с трудом.

 

[RomikChef]

3. Давать каждому юзеру по апачу.

 

[akul]

Re: Как спастись от инклуда моих конфигов собратьями по хостингу?

http://www.php.net/manual/en/function.get-included-files.php

foreach(get_included_files() as $path)
if(!preg_match('/^твой_путь../',$path))
die('I so tired by beginners...');

 

[Crazy]

akul, про функцию fopen ты слышал?

 

[akul]

это неважно, на _заданный-то_ вопрос это отвечает.
А если действительно разбирать этот вопрос, то я думаю так: проекты, которые имеет смысл ломать, имеют достаточно денег, чтобы их захостить на отдельном сервере. А если недостаточно, это верный признак того, что проект просто мало нужен кому-либо, чтобы его ломать, и посему напрягаться ради таких вещей нецелесообразно. Мой опыт показывает, что слишком крутая защита у хостера приносит куда больше геммороя, чем вообще отсутствие её. На предыдущем хостинге был safe режим с таким количеством ограничений, что после продолжительной борьбы с невозможностями записать куда-либо что-либо и вызвать необходимые для работы функции мне пришлось вообще сменить провайдера. Но через некоторое время начался чиста конкретный бандитский передел мира, вследствие чего американские подрастающие "патриоты" начали ломать новый хостинг (ну, арабы там какие-то затесались среди клиентов), сисадмину пришлось усиливать политику, и опять - куча геммороя.

 

[Yurik]

это неважно, на _заданный-то_ вопрос это отвечает

akul, ты что-то путаешь Как спастись от инклуда моих конфигов собратьями по хостингу означает что
1. Должна быть настроена система прав на файлы, что невозможно на сег. день для сервера Апач в связи с ограничениями suExec только на ЦГИ (кстати серьезный аргумент в пользу IIS или PHP as CGI)
или
2. Должен быть включен open_basedir и запрещен доступ к шелл-функциям
также
3. ФТП не должен выпускать за пределы папки пользователя

А содержимое файла и какие-либо языковые конструкции (типа if(!preg_match('/^твой_путь../',$path))) не играют никакой роли, о чем тебе коротко намекнул г-н Crazy

это верный признак того, что проект просто мало нужен кому-либо, чтобы его ломать, и посему напрягаться ради таких вещей нецелесообразно

если на взлом таких проектов идет 5 минут (на весь хостинг заразом), то наверно стоит

 

[aZa]

приведите пример известных хостингов, которые предусмотрели такие фишки?.. а какие из известных имеют такие дыры?

 

[akul]

Автор оригинала: Yurik
akul, ты что-то путаешь Как спастись от инклуда моих конфигов собратьями по хостингу означает что ...

Я прекрасно понял, о чем мне намекнул г-н Crazy, но в одном действительно могу покаяться: шутка не удалась, хотя я специально продублировал вопрос в теме.

Ладно, тогда рецепт специалистов из Красной Бурды: "Пришейте к подушке куриную голову. Пришили? Отлично. А теперь попробуйте объяснить, зачем Вы это сделали." Между прочим, относится к обсуждаемой теме.

Кстати, против IIS слишком много других возражений, чтобы его ставить только для закрытия этой дырки. Он сам иногда такое устроит, что никаких врагов не надо.

Интересно, что в этом плане второй апач готовит. Я уже пытался на него PHP взгромоздить, пока неуспешно.