-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
Опять про взлом сайта на PHP и сессий
- Автор темы Norton
- Дата начала
- Статус
Norton
Новичок
Ясно.
На счёт беги - не всё так просто. Я сам этого не решаю. Есть директор, ему нравится что хостер в одном городе, что всегда по телефону можно поговорить...
Украинский хостер. Именует себя как качественного...
Линк к сожалению пока дать не могу, так как нет гарантии что они могут закрыть все наши аккаунты из-за такой "рекламы", или база у них может именно наша случайно упасть..
Будем стараться переехать.
Спасибо всем за дельные советы.
ukrhosting
Guest
Я бы промолчал но уж слишком силно он меня напряг…
Вданном случае пользователь в файле на котором стоял рид для всех хранил свой ФТП пароль причем в формате ftp://user:password@server/ (наверно чтобы его было легче найти). Зачем там было хранить пароль для меня навсегда останется загадкой.
А сперва я действительно поверил что какая-то новая дыра толи в пхп толи в нашей хостинговой системе, оказалось все банально просто. 3 часа потерянного впустую времени.
Max Volgin,
www.ukrhosting.com
Риды для всех на хостинговом сервере тоже надо закрывать. Весьма желательно. Благо соответствующий патч занимает одну строку.
Но это так, лирическое отступление.
Мне больше интересны комментарии про "недостатки" пхп и работу его от одного пользователя.
Итак. Возможно ли на вашем хостинге, используя скрипт phpRemView, ссылку на который я привел выше, получить доступ к чужим файлам?
Но это так, лирическое отступление.
Мне больше интересны комментарии про "недостатки" пхп и работу его от одного пользователя.
Итак. Возможно ли на вашем хостинге, используя скрипт phpRemView, ссылку на который я привел выше, получить доступ к чужим файлам?
ukrhosting
Guest
Пишите программы таким образом чтобы нельзя было читать ваши сессии кодируйте все свои пароль в сессиях, причем здесь интересно хостер?
Можно поставить "саве моде" но я думаю через 10 минут после этого уважаемый Нортон будет нам звонить и расскажет что половина его сайтов не работает, и довод что теперь его сессии некому невидны его мало успокоит.
-~{}~ 18.03.04 21:36:
Пач чего ? ДНК интересно бы узнать эти 2 строчки и как их туда вставить
Что вы имеете ввиду под чужими файлами? Для пхп все файлы чужие его юзер e.g.: httpd.
Точно могу сказать имя файла и дифф только для FreeBSD 4.x; в остальных случаях - ручками.
. Если php установлен как модуль Апача без дополнительных манипуляций с исходниками, это так. В этом случае, насколько я понимаю, используется следующая система: файлы в каталоге, соответствующем DocumentRoot (допустим, www) для данного виртуального хоста, имеют атрибуты rw-r----, овнера [логин-пользователя] и группу, из-под которой работает апач (либо же овнера httpd и группу, к которой относитася только [логин-пользователя] - тогда атрибуты зеркально меняются); дополнительно для выполнения предыдущего условия к создаваемым файлам на каталог www установлен атрибут +s. Таким образом, доступ к файлам имеют и апач, и пользователь.
Какие средства используются, чтобы предотвратить возможность чтения php-файлов из чужого DocumentRoot посредством php-скрипта?
-~{}~ 18.03.04 21:55:
admin, ну зачем так сразу?
-~{}~ 18.03.04 22:00:
admin, кстати, open_basedir бесполезна при отключенном safe_mode.
ukrhosting, я, в принципе, не дожидаясь ответа, уже знаю, что вам нужно - решение вопроса безопасности PHP, не используя CGI и не включая safe mode. Могу привато подсказать за какое-нибудь условное вознаграждение. Решение 100% рабочее, я его использую.
fixxxer
короче в поиск по форуму.. тема обсуждалась еще года 2 назад..
http://www.php.net/manual/en/features.safe-mode.php#ini.open-basedir
-~{}~ 18.03.04 22:27:
http://www.onlamp.com/pub/a/php/2001/03/29/php_admin.html
короче в поиск по форуму.. тема обсуждалась еще года 2 назад..
http://www.php.net/manual/en/features.safe-mode.php#ini.open-basedir
-~{}~ 18.03.04 22:27:
http://www.onlamp.com/pub/a/php/2001/03/29/php_admin.html
Norton
Новичок
А я не буду молчать в таких случаях. Если б я не напряг, напряг кто бы другой..Или использовал это в своих целях. В конце концов мы Вам деньги за это платим. И хотим безопасности.
Что-то я не припоминаю где я хранил такой пароль.
Пароль хранился в файле base.php . И риды для всех не факт что были.
Кроме того здесь самого начала обсуждались ещё и сессии.
Я сначала сказал, что возможно где-то виноваты мы, но почему это нельзя хранить пароли в php файле, я не понял.
Я кидал ссылки сюда где обсуждалась эта тема, Вы на это никак не отреагировали, кроме как что-то типа "Мы не обязаны учить програмировать наших клиентов"..
А это не дыра ? То что я сессии могу (мог) читать не дыра ?
Norton
Новичок
Как это причем ? При том.
Меня успокоит лишь то что уважаемый админ сервера закроет дыры на которые ему явно указывают. Причём не я один. Или попытается хотя бы, а не будет воображать из себя умнее всех.
А если ставить safe mode - то предупреждать надо заранее.
Это всё равно что по ходу матча менять правила игры.
Irbisus
Guest
Да уж... Я смотрю что у вас тут как в армии; хороший хостер - мёртвый хостер 
Я сам вообщем-то никакого отношения к вашему, так сказать, языку програмирования - РНР, не имею, но сказать по этому поводу мне есть что сказать. Я системный администратор и уже около 4-х лет занимаюсь поддержкой хостинговых компаний, то есть как вы понимаете напрямую знаю все ваши так называемые "дыры". Рассказываю ситуацию. Есть сервер, на нем "хостятся" около 400-500 сайтов. Каждый сайт типа оригинальный. Около 10% сделаны пользователями самими. Более 90% сайтов это сайты построенные на каких-либо готовых продуктах, которые в свою очередь рассчитаны на использование на отдельно взятом сервере (читай non-shared). Соответсвенно 50% из них (назовем их "грамотно написанные продукты") имеют свои конфигурационные файлы, которые позволяют настроить работу продукта с максимально возможной безопасностью. РЕАЛЬНО использующих такие возможности пользователей, ну скажем так, около 5%. Ну и что дальше? Я могу настроить РНР таким образом, что юзер ничего не сможет запустить, кроме двух-трёх команд и половина этого "добра", которым все пользуются, просто тупо не будет работать. Как вам такое?
Только через 3 дня все эти юзера разбегутся к "дырявым" хостерам, потому что им по фиг что секьюрно, главное что его "кульная" прога не работает.
Насчет сессий. Вообще-то куда ложаться сессии можно указывать в самом РНР скрипте или конфигурации. Это раз. Во-вторых вы же знаете что такое .htaccess файлы? Здесь тоже можно указать куда ложатся сессии... Вариантов масса на самом деле. Ну а если мне по фиг мои сессии, то хостер то тут при чём?
А вообще-то способов взломать серевер/сайт достаточно и без вашего РНР. Реально есть много сайтов и на shared хостинге на РНР, к которым не придерёшься... Но люди думают о своих сайтах и данных. Ну а если хостишь фотографии кошечек, то не очень расстроишься если в один прекрасный день там будут голые негры... ведь правда?
Я сам вообщем-то никакого отношения к вашему, так сказать, языку програмирования - РНР, не имею, но сказать по этому поводу мне есть что сказать. Я системный администратор и уже около 4-х лет занимаюсь поддержкой хостинговых компаний, то есть как вы понимаете напрямую знаю все ваши так называемые "дыры". Рассказываю ситуацию. Есть сервер, на нем "хостятся" около 400-500 сайтов. Каждый сайт типа оригинальный. Около 10% сделаны пользователями самими. Более 90% сайтов это сайты построенные на каких-либо готовых продуктах, которые в свою очередь рассчитаны на использование на отдельно взятом сервере (читай non-shared). Соответсвенно 50% из них (назовем их "грамотно написанные продукты") имеют свои конфигурационные файлы, которые позволяют настроить работу продукта с максимально возможной безопасностью. РЕАЛЬНО использующих такие возможности пользователей, ну скажем так, около 5%. Ну и что дальше? Я могу настроить РНР таким образом, что юзер ничего не сможет запустить, кроме двух-трёх команд и половина этого "добра", которым все пользуются, просто тупо не будет работать. Как вам такое?
Только через 3 дня все эти юзера разбегутся к "дырявым" хостерам, потому что им по фиг что секьюрно, главное что его "кульная" прога не работает. Насчет сессий. Вообще-то куда ложаться сессии можно указывать в самом РНР скрипте или конфигурации. Это раз. Во-вторых вы же знаете что такое .htaccess файлы? Здесь тоже можно указать куда ложатся сессии... Вариантов масса на самом деле. Ну а если мне по фиг мои сессии, то хостер то тут при чём?
А вообще-то способов взломать серевер/сайт достаточно и без вашего РНР. Реально есть много сайтов и на shared хостинге на РНР, к которым не придерёшься... Но люди думают о своих сайтах и данных. Ну а если хостишь фотографии кошечек, то не очень расстроишься если в один прекрасный день там будут голые негры... ведь правда?
tony2001
TeaM PHPClub
>Вообще-то куда ложаться сессии можно указывать в самом РНР скрипте или конфигурации. Это раз.
уважаемый админ, значит ли это, что "спасение утопающих - дело рук самих утопающих"?
т.е. грубо говоря, вы свою работу сделали, сервер работает, а все остальное вам до лампочки?
есть элементарные правила безопасности, которые никак не влияют на "кульные проги" ваших клиентов.
ничего, что вам стоит их прочесть?
это раз.
>Во-вторых вы же знаете что такое .htaccess файлы?
во-вторых, как много из ваших клиентов читали ман по Апачу и в курсе что такое ".htaccess" ?
админу хостинга не хотелось его настроить максимально секьюрно и удобно одновременно. ничего... пользователи сами виноваты, ага?
это два.
>Ну а если мне по фиг мои сессии, то хостер то тут при чём?
и правильно!
не хостинг для клиентов, а клиенты для хостинга.
а давайте заставим всех сначала crash-course по секьюрити веб-серверов пройти, да? всем будет хорошо, а вам лучше всего.
>А вообще-то способов взломать серевер/сайт достаточно и без вашего РНР.
конечно.
главное, чтобы админ был нормальный.
а с таким отношением - тут мало чем поможешь.
>Реально есть много сайтов и на shared хостинге на РНР, к которым не придерёшься...
вот к сайту автора топика, вероятно, тоже мало придирались.
и что?
>Но люди думают о своих сайтах и данных.
O!
как бы еще заставить админов про серверы думать - не подскажете?
>Ну а если хостишь фотографии кошечек, то не очень расстроишься если в один
> прекрасный день там будут голые негры... ведь правда?
я думаю, что и админ будет рад, если у него все сайты на хосте перемешают в кучу.
радости-то полные штаны, правда?
ламеры-клиенты виноваты ведь, ага?
с админа-то что возьмешь.. он кругом не виноват.
уважаемый админ, значит ли это, что "спасение утопающих - дело рук самих утопающих"?
т.е. грубо говоря, вы свою работу сделали, сервер работает, а все остальное вам до лампочки?
есть элементарные правила безопасности, которые никак не влияют на "кульные проги" ваших клиентов.
ничего, что вам стоит их прочесть?
это раз.
>Во-вторых вы же знаете что такое .htaccess файлы?
во-вторых, как много из ваших клиентов читали ман по Апачу и в курсе что такое ".htaccess" ?
админу хостинга не хотелось его настроить максимально секьюрно и удобно одновременно. ничего... пользователи сами виноваты, ага?
это два.
>Ну а если мне по фиг мои сессии, то хостер то тут при чём?
и правильно!
не хостинг для клиентов, а клиенты для хостинга.
а давайте заставим всех сначала crash-course по секьюрити веб-серверов пройти, да? всем будет хорошо, а вам лучше всего.
>А вообще-то способов взломать серевер/сайт достаточно и без вашего РНР.
конечно.
главное, чтобы админ был нормальный.
а с таким отношением - тут мало чем поможешь.
>Реально есть много сайтов и на shared хостинге на РНР, к которым не придерёшься...
вот к сайту автора топика, вероятно, тоже мало придирались.
и что?
>Но люди думают о своих сайтах и данных.
O!
как бы еще заставить админов про серверы думать - не подскажете?
>Ну а если хостишь фотографии кошечек, то не очень расстроишься если в один
> прекрасный день там будут голые негры... ведь правда?
я думаю, что и админ будет рад, если у него все сайты на хосте перемешают в кучу.
радости-то полные штаны, правда?
ламеры-клиенты виноваты ведь, ага?
с админа-то что возьмешь.. он кругом не виноват.
Irbisus
Guest
Кстати этот ваш примитивный phpRemView не знаю даже на каком хостинге работать будет... На HSphere он умирает сразу на выходе из юзерской домашней диры
-~{}~ 19.03.04 00:46:
Ну я же не писал вам здесь "грубо говоря", правда?
Вот ваш форум на shared хостинге? Если да, то есть ли у вас гарантия что его не сломают завтра? А про то сколько дыр было и будет в vBulletin и говорить не приходится...
Скажу вам по секрету вы наверное слабо себе представляете что такое shared хостинг в современном мире....
-~{}~ 19.03.04 00:48:
А насчёт правил безопасности... тут уж поверьте - в этой области МНЕ правил читать уже не нужно
На HSphere он умирает сразу на выходе из юзерской домашней диры -~{}~ 19.03.04 00:46:
Ну я же не писал вам здесь "грубо говоря", правда?
Вот ваш форум на shared хостинге? Если да, то есть ли у вас гарантия что его не сломают завтра? А про то сколько дыр было и будет в vBulletin и говорить не приходится...
Скажу вам по секрету вы наверное слабо себе представляете что такое shared хостинг в современном мире....
-~{}~ 19.03.04 00:48:
А насчёт правил безопасности... тут уж поверьте - в этой области МНЕ правил читать уже не нужно
tony2001
TeaM PHPClub
>Вот ваш форум на shared хостинге?
нет, а что?
>Если да, то есть ли у вас гарантия что его не сломают завтра?
поверьте, у нас админ слышал про секьюрити.
правда, admin ?
>Скажу вам по секрету вы наверное слабо себе представляете что такое shared хостинг в современном мире....
а по сути не ответите? только "тычками" в мою сторону?
жаль.. очень жаль..
-~{}~ 19.03.04 00:54:
>А насчёт правил безопасности... тут уж поверьте - в этой области МНЕ правил читать уже не нужно
ну тогда вы, я уверен, сможете проконсультировать тов. urkhosting, как ему настроить сервер и не затронуть "кульные проги" клиентов.
впрочем, МНЕ вы можете тоже не читать про то, как "хостер то тут при чём", если сломали хостинг. даже слесари с СТО отвечают за свою работу, а вы так безалаберно..
грустно.
нет, а что?
>Если да, то есть ли у вас гарантия что его не сломают завтра?
поверьте, у нас админ слышал про секьюрити.
правда, admin ?
>Скажу вам по секрету вы наверное слабо себе представляете что такое shared хостинг в современном мире....
а по сути не ответите? только "тычками" в мою сторону?
жаль.. очень жаль..
-~{}~ 19.03.04 00:54:
>А насчёт правил безопасности... тут уж поверьте - в этой области МНЕ правил читать уже не нужно
ну тогда вы, я уверен, сможете проконсультировать тов. urkhosting, как ему настроить сервер и не затронуть "кульные проги" клиентов.
впрочем, МНЕ вы можете тоже не читать про то, как "хостер то тут при чём", если сломали хостинг. даже слесари с СТО отвечают за свою работу, а вы так безалаберно..
грустно.
Irbisus
Guest
Так тут как я понимаю сломали как раз не хостинг, а как раз сайт юзера...
>>Вот ваш форум на shared хостинге?
>нет, а что?
Вот видите... Так что думаю данный вопрос не можете ощутить в полной мере Вы можете настроить свой сервер как угодно вам и без ущерба для кого-либо...
>>Вот ваш форум на shared хостинге?
>нет, а что?
Вот видите... Так что думаю данный вопрос не можете ощутить в полной мере
Вы можете настроить свой сервер как угодно вам и без ущерба для кого-либо...Demiurg
Guest
Новый бронированый мерседес. Даже если вас убъют, мотор все равно будет продолжать работать! Короче, покупайте наши машины, а то все равно подохните.
- Статус