نمایش نسخه قابل چاپ
یک سول خیلی مهم دارم
ببینید وقتی هکری شل کد آپلود میکنه روی یک هاستی اکثرا دسترسی لازم برای آپلود فایل و ... رو داره
اما من سایت یکی رو تست کردم بعد از آپلود شل امکان انجام هیچ کاری نبود! یعنی تمام پرمیژن ها قرمز رنک شده بودند و فقط read only بودن و نمیشد کوچکتریم کاری کرد
چطور میشه آدم هاستشو اینطوری کنه
با خاموش کردن safe_mod ?
---------- Post added at 12:17 PM ---------- Previous post was at 11:44 AM ----------
کسی نیست؟
safe mode تو php 6 حدف می شه
تنظیمات زیادی داره مثل امن کردن tmp و بستن توابع و بستن php.ini و ini_set و ...
که اینا رو مدیر سرور باید انجام بده
برای محدود کردن عملکرد شل ها باید safe mode رو در حالت on قرار بدید !
فانکشن های خطرناک رو در php.ini به حالت disabled در بیارید ! (disable_functions)
از suphp استفاده کنید ! ( owner و permission فایل رو کنترل میکنه و شل رو در صورت وجود بسیار محدود میکنه )
آنتی ویروس clam av در پیدا کردن فایل های خطرناک بهتون کمک میکنه !
سلام
کسی میدونه دقیق باید چی کار کرد که هکر نتونه فایل ها رو بخونه ؟
من تقریبا همه این کارا رو انجام دادم ولی باز تست کردم میشه تغییر داد!!!
کاری نمیشه انجام داد :dنقل قول:
نوشته اصلی توسط 1mizban
همیشه هکر ها خیلی جلوتر هستن :d
شما هر کاری هم که بکنید اگه یه هاست بدین من بهتون ثابت میکنم باز هم امنیت = صفر :d
اما در کل از suphp استفاده کنید ! توابعی هم که مشکلات امنیتی به وجود میارند ببندین
خوب نمیشه که کاری نکرد.
از suphp استفاده میکنم ، توابع رو هم بستم ، تقریبا همه کارهای ضروی رو انجام میدم ولی الان رو 2 تا سرور مختلف شل آپلود کردم روی یکی هیچ کاری نمیشه کرد روی اون یکی میشه ... این رو میخوام بدونم چی کار کرده
نخوندن فايل هاي در حوضه دسترسي اون اكانت كه تقريبا امري نا ممكن هست!مگر اينكه شما توابعي مثل fopen رو هم ببندي كه تقريبا يعني خيلي از توابع مفيد رو از كار بندازي!
وقتي يك اسكريپت php روي هاست هست ، نبايد بتونه فايل ها مجاورش رو include كنه يا بخونه؟خب شل هم همين كار رو مي كنه!
تابع show_source رو هم ببند ! زياد كارايي نداره ولي ميتونه كاربر در صورت دسترسي باهاش سورس فايل ها رو بخونه
شما این تصویر رو نگاه کنید .
یعنی سرورهمه شما اینجوری؟!!!
وقتی میخواید امنیت سرور بره بالا disable_functions , safe mode on
ولی روی اون سایت که شل آپلود شده آپلود و makedir بازه ( میتونی ببندی ولی هرروز باید جواب مشتری رو بدی که فلان اسکریپت نصب نمیشه یا ... )
ولی یه راه حل خیلی خوب هم هست اینکه توسط firewall هی پی هایی که به سرور اتک میشه رو بست الان سرورهای huge اینجوریه سریع ای پی block میشه و فقط این صفحه میاد:
نقل قول:
Your connection to this server has been blocked in this server's firewall.
You need to contact the server owner for further information.
این کارا رو انجام دادم
خیلی از آی پی ها رو هم فاروال میبنده + مد سکوریتی
ولی الان خودم که تست کردم دیدم خیلی راحت میشه همه کار کرد ....
خب اين تحت همون اكانت نيست مگه ؟ يعني من روي هاست خودم جز با سي پنل نبايد بتونم يك فايل رو بخونم،يك فولدر ايجاد كنم ، فايل جديد ايجاد كنم؟نقل قول:
نوشته اصلی توسط 1Mizban
اگر ايني كه شما ميگي مربوط به دسترسي از يك اكانت به ساير اكانت ها باشه كاملا ميشه اسمش رو گذاشت مشكل امينيتي و لي اينكه يك برنامه php نتونه چنين اعمال ساده اي رو اجام بده مي توني بگي فقط اسما php رو ساپورت مي كنيم!
براي مثال اگه شما توابعي مثل readdir رو ببندي cms هايي مثل nuke هم از كار مي افتند!
فرضا شما تابع fopen,file_get_contents و اين قبيل توابع رو بستي كه فايلي خونده نشه،اون وقت برنامه هاي php كه قالب هاي html جدا دارند و اين html ها رو ميخونن و پردازش مي كند چجوري كار كنند؟
fwrite و ... رو اگه ببنديد خيلي از برنامه ها از كار مي افتند،مثل برنامه هايي كه يك log مخصوص خودشون روي سرور ايجاد مي كنند و خيلي ديگر مثال ها!
مهم اينه كه با شل نتونه root access بگيره و گرنه كسي كه شل رو آپلود مي كنه بهر حال يك نوع access به اون اكانت داره ديگه!به جاي اون فايل شل مي تونه يك httaccess آپلود كنه كه كليه درخواست ها بجاي باز شدن معمولي دانلود بشن و از اين قبيل!
آپلود شل و تغییر محتویات اکانت که عجیب نیست!
شما باید دسترسی به کانت های دیگه رو محدود کنید
سلام
برای امنیت دایرکت ادمین میتونم تضمین بدم که هیچ شلی روش کار نکنه !
ولی سی پنل نه !
با تشکر
یه هاست بدین من ، تضمین میکنم کار کنه :dنقل قول:
نوشته اصلی توسط alborzhost
شما یک سرویس دایرکت ادمین بده با دسترسی ssh به من بعد روش شل بریزیم شما تست کن اوکی ؟!
منظور از كار نكردن گرفتن root access هست يا اينكه شل نتونه فايل هاي تحت همون اكانت رو بخونه؟!نقل قول:
نوشته اصلی توسط alborzhost
اولي كه خب آره ولي دومي رو محاله،مگر اينكه كلا توابع رو ببندي و فقط اسما php ساپورت كنيد و نه عملا! :دي
هم کار نکردن root access و فایل های همون اکانت رو نتونه ت***م بده !!!نقل قول:
نوشته اصلی توسط hello
تضمینی میتونم هر کس خواست براش انجام بدم.
با تشکر
یعنی شما کاری میکنی که رو همون اکانت نه بشه فایل read کرد نه write ؟؟؟نقل قول:
نوشته اصلی توسط alborzhost
بعد چجوری سایت های داینامیک کار میکنه ؟ مثلا" wp پوشه آپلود باید پرم داشته باشه اون رو چجوری میبندی؟
منم دقيقا حرفم همينه :dنقل قول:
نوشته اصلی توسط ParsHost
الان روي هاست Da دوست خودم اينقدر محدوديت گذاشتن نميشه يك directory ايجاد كرد!خب اين ديگه نشد امنيت،شد محدوديت!
سلام
اگه قرار بشه من روش رو بگم که نمیشه !
شما اگه نیاز به چنین امنیتی دارید با ما تماس بگیرید براتون اوکی میکنیم و هیچ اسکریپت یا سایتی به مشکل بر نخواهد خورد.
با تشکر
یکسری فانکشن لیست کرده بودم که اگر پیداش کردم واستون میزارم میتونید با توجه به اون کانفیگ کنید
نقل قول:
نوشته اصلی توسط alborzhost
شما اگه از کارتون اطمینان دارید من یه شل بهتون میدم رو سرور آپلود کنید بدین تست کنم !
اینقدر اطمیمنان نداشته باشید ! به مخصوصی روی امنیت !نقل قول:
نوشته اصلی توسط alborzhost
فکر کنم هنوز هکرها از این تاپیک اطلاع ندارن وگرنه ... :d
@alborzhost
آدرس سایتتون هم بدین لازم شد مزاحم بشیم :d
سلام
امنیت هیچ وقت مطلق نیست اینو همیشه تو ذهنتون نگه دارید.
اگه سایت شما هک هم نشه میشه اونو دی داس کرد !!!
در ضمن بنده گفتم فقط روی سرویس دایرکت ادمین تضمین میدم سی پنل هیچ ضمانتی نداره.
support@alborzhost.net
با تشکر
نقل قول:
نوشته اصلی توسط alborzhost
:-wنقل قول:
نوشته اصلی توسط ParsHost