آیا در هاستهای اشتراکی اگر یکی از اکـونت ها شل آپ شده باشه ، شخص آپ کننده می تواند به دیتابیس سایر اعضا دسترسی پیدا کنه ؟ و خرابکاری کنه ؟
اگه بله چاره چیست ؟
با تشکر
نمایش نسخه قابل چاپ
آیا در هاستهای اشتراکی اگر یکی از اکـونت ها شل آپ شده باشه ، شخص آپ کننده می تواند به دیتابیس سایر اعضا دسترسی پیدا کنه ؟ و خرابکاری کنه ؟
اگه بله چاره چیست ؟
با تشکر
بله ، انواع خرابکاری ها رو با توجه به وضعیت امنیتی سرور شما میتونند اعمال کنند . ( از جمله دسترسی به دیتابیس ها و فایل های کاربران دیگر که در حالت عادی واقعا بی دفاع هستند )
برای شناسایی و برطرف کردن این مشکل هم چندین تاپیک در انجمن ایجاد شده ... (Please Search !)
سلام عیلکم و رحمت الله و برکاته !;;)
خدمت شما که عرض کنم بحث راجع به این موضوع زیاد شده
بستگی داره سرور شما چطور کانفیگ شده باشه ، اگه درست کانفیگ بشه نمی تونه passwd هم بخونه چه برسه به فایل ها دیگر یوزر ها اما اگه درست کانفیگ نشه مشکلات زیادی ره به همراه می یاره
سلامنقل قول:
نوشته اصلی توسط online24
دوست عزیز من تو انجمن زیاد راجع به این موضوع تاپیک پیدا نکردم
یکیش خصوصی کردن php.ini بود
اون یکی هم بستن برخی از فانکشن هاش
من این کارهارو کردم
ولی هنوز کاربر هام از طریق cgi به هم دسترسی دارن
با تشکر
علی جون دقت نمیکنی دیگهنقل قول:
نوشته اصلی توسط online24
اینا اکثرا به php.ini اشاره داشتن و به clamAV
ولی بحث من راجع به CGI هست که اصلا راجع بهش بحث نمیشه
من الان clamAV نصب کردم
و php.ini رو خصوصی سازی کردم
و function ها رو تا جایی که میتونستم بستم و خیلی کار های دیگه
دیگه کاربر بصورت عادی نمیتونه شل آپ کنه ولی با CGI براحتی میتونه (این مشکل من نیست - مشکل 90% هاستینگ های ایرانه که ازش قافلیم)
الانه که گیر بدن بگن درصد از کجا آوردی
قبلش ابهام رو برطرف کنم (منظور اکثر هاستینگ ها هست)
من قبلا پست دادم کسی جواب نداد
این آدرس پست
http://www.webhostingtalk.ir/f55/13949/
جوابتون هم rn4j1m1 داده
خیلی جاهایی که ادعا هم دارن این مشکل رو دارن
شما باید سرورتون رو کانفیگ امنیتی کنید.
در ضمن خوانده شدن فایل etc/passwd توسط دیگران مشکلی ایجاد نمیکنه. ذات این فایل world readable هست.
درخواست آموزش هم نکنید چون خیلی ببخشید یوزرهاتون موش آزمایشگاهی نیستند.
بدید براتون کانفیگ کنند.
سلامنقل قول:
نوشته اصلی توسط Talahost.Com
دوست عزیز بنده هیچ وقت چیزی رو که مطمئن نیستم رو سرورم تست نمیکنم (ممنون از هشدارتون)
من هاستینگ دارم نه بخواطر سود بلکه بخواطر علاقه به اینکار
دوست دارم یادگرفتن این چیز هارو
بحث اینکه بدم برام کانفیک کنن نیست
در هر حال ممنون
سلام.
دوست عزیز یه سری به فرومهای امنیت بزنید. در مورد اپلود شل هم بله فعلا خیلی راحته از cgi وارد شدن.(تا جایی که تو هاستهای ایرانی دیدم) در مورد مس دیفیس یا انواع حملات به سرورتون هم تا جدیدترین متد های حمله رو ندونین هر کانفیگی باز بعد یه مدت نفوذ پذیر میشه پس برای قوی بودن خودتون یاد بگیرید بهترین منبع هم مقاله های خارجی و سرچ در نت و ...
یکی از دوستان گفت اطلاعات etc/passwd خوندنش مشکلی ایجاد نمیکنه تا جایی که من میدونم خیلی حمله ها وابسته به همین فایل و البته یه مرتبه بالاتر مربوط به ادیت این فایل میشه.
در کل امنیت هاستهای ایران شاید به دلیل زیاد شدن ارائه دهنده خیلی پایین اومده یه بخش امنیت از واجبات فرومه که من تو وی اچ تی ندیدم.
اگه مقاله در مورد جلوگیری از حملات پیدا کردم باز تو همین تاپیک میزارم.
سلامنقل قول:
نوشته اصلی توسط mahdi2009
به نکته خوبی اشاره کردی
یه بخش امنیت تخصصی برای این انجمن لازمه