*Drive*- Здесь рулят padonki https://www.drivesource.ru/ |
|
Укрепляем Apache и PHP https://www.drivesource.ru/viewtopic.php?f=15&t=1166 |
Страница 1 из 1 |
Автор: | Padonak [ 30 авг 2010, 13:39 ] |
Заголовок сообщения: | Укрепляем Apache и PHP |
На скриншоте показан r57shell залитый на машину с Ubuntu 8.10 Desktop. Вся система – как на ладони. Можно выполнять команды, редактировать и создавать файлы. Можно даже просмотреть содержимое директории /root потому что в Ubuntu она почему-то имеет права 755. Необходимо принять меры. Устанавливаем нормальные права доступа на папку root – только для пользователя root: sudo chmod 700 /root Редактируем настройки PHP: Включаем опцию safe_mode в файле /etc/php5/apache2/php.ini safe_mode on Это всего лишь запретит выполнять команды на сервере с помощью php, но мы все равно сможем просматривать и редактировать шеллом файлы на которые у нас есть доступ. А доступ у нас есть на все файлы на которые есть доступ у Apache. В Ubuntu и в Debian Apache работает от имени пользователя www-data и группы www-data. Так что мы имеем доступ на чтение на все файлы c правами 644, даже если они пренадлежат другим пользователям и полный доступ на файлы и директории, принадлежащие www-data. Чтобы обезопасить сервер – ограничим возможные дисковые операции php папкой /var/www нашего сервера, используя опцию open_basedir: open_basedir = /var/www После перезапуска Apache мы уже не сможем просматривать шеллом директории которые находятся вне /var/www, да и вообще не сможем произвести никаких дисковых операций кроме как в /var/www да и то над папками и файлами на которые у нас есть доступ. Так что даже если шелл был залит – мы хотя-бы чуть чуть усложним взломщику задачу по проникновению в систему. Несмотря на эти настройки мы, например, можем с помощью шелла просмотреть файл конфигурации нашего движка (wp-config.php для WordPress) и узнать оттуда логин и пароль от базы данных MySQL. Поэтому чрезвычайно глупо работать с базой данных под пользователем с обширными правами, например, root пользователем MySQL (не путать с root системы). В этом случае злоумышленник сможет легко создать дампы не только базы данных взломанного сайта но и других. источник |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа [ Летнее время ] |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |