*Drive*- Здесь рулят padonki

*Drive* - Counter Strike Source
It is currently 18 Mar 2019, 22:00

All times are UTC + 3 hours [ DST ]




Post new topic Reply to topic  [ 1 post ] 
Author Message
PostPosted: 30 Aug 2010, 13:39 
Offline
padonki
User avatar

Joined: 14 Aug 2006, 20:43
Posts: 3659
Location: Солнцево
Has thanked: 9 times
Have thanks: 46 times
На скриншоте показан r57shell залитый на машину с Ubuntu 8.10 Desktop. Вся система – как на ладони. Можно выполнять команды, редактировать и создавать файлы. Можно даже просмотреть содержимое директории /root потому что в Ubuntu она почему-то имеет права 755. Необходимо принять меры.
Image

Устанавливаем нормальные права доступа на папку root – только для пользователя root:

sudo chmod 700 /root

Редактируем настройки PHP:

Включаем опцию safe_mode в файле /etc/php5/apache2/php.ini

safe_mode on

Это всего лишь запретит выполнять команды на сервере с помощью php, но мы все равно сможем просматривать и редактировать шеллом файлы на которые у нас есть доступ. А доступ у нас есть на все файлы на которые есть доступ у Apache. В Ubuntu и в Debian Apache работает от имени пользователя www-data и группы www-data. Так что мы имеем доступ на чтение на все файлы c правами 644, даже если они пренадлежат другим пользователям и полный доступ на файлы и директории, принадлежащие www-data.

Чтобы обезопасить сервер – ограничим возможные дисковые операции php папкой /var/www нашего сервера, используя опцию open_basedir:

open_basedir = /var/www

После перезапуска Apache мы уже не сможем просматривать шеллом директории которые находятся вне /var/www, да и вообще не сможем произвести никаких дисковых операций кроме как в /var/www да и то над папками и файлами на которые у нас есть доступ. Так что даже если шелл был залит – мы хотя-бы чуть чуть усложним взломщику задачу по проникновению в систему.

Несмотря на эти настройки мы, например, можем с помощью шелла просмотреть файл конфигурации нашего движка (wp-config.php для WordPress) и узнать оттуда логин и пароль от базы данных MySQL.
Image
Поэтому чрезвычайно глупо работать с базой данных под пользователем с обширными правами, например, root пользователем MySQL (не путать с root системы). В этом случае злоумышленник сможет легко создать дампы не только базы данных взломанного сайта но и других.


источник

_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Image


Top
 Profile  
 
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 1 post ] 

All times are UTC + 3 hours [ DST ]


Who is online

Users browsing this forum: No registered users and 1 guest


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  


Powered by -=PadonaK=- ®, Forum Drivesource.ru, Статситика игрового ресурса *Drive* HLstatsX, Система забаненых игроков Sourcebans

drivesource.ru ® 2006-2019