آیا در هاستهای اشتراکی اگر یکی از اکـونت ها شل آپ شده باشه ، شخص آپ کننده می تواند به دیتابیس سایر اعضا دسترسی پیدا کنه ؟ و خرابکاری کنه ؟
اگه بله چاره چیست ؟
با تشکر
وجود شل در هاست های اشتراکی
آیا در هاستهای اشتراکی اگر یکی از اکـونت ها شل آپ شده باشه ، شخص آپ کننده می تواند به دیتابیس سایر اعضا دسترسی پیدا کنه ؟ و خرابکاری کنه ؟
اگه بله چاره چیست ؟
با تشکر
ویرایش توسط سلام عیلکم و رحمت الله : October 16th, 2010 در ساعت 17:07
پاسخ : وجود شل در هاست های اشتراکی
بله ، انواع خرابکاری ها رو با توجه به وضعیت امنیتی سرور شما میتونند اعمال کنند . ( از جمله دسترسی به دیتابیس ها و فایل های کاربران دیگر که در حالت عادی واقعا بی دفاع هستند )
برای شناسایی و برطرف کردن این مشکل هم چندین تاپیک در انجمن ایجاد شده ... (Please Search !)
پاسخ : وجود شل در هاست های اشتراکی
سلام عیلکم و رحمت الله و برکاته !
خدمت شما که عرض کنم بحث راجع به این موضوع زیاد شده
بستگی داره سرور شما چطور کانفیگ شده باشه ، اگه درست کانفیگ بشه نمی تونه passwd هم بخونه چه برسه به فایل ها دیگر یوزر ها اما اگه درست کانفیگ نشه مشکلات زیادی ره به همراه می یاره
!... Security is never complete
پاسخ : وجود شل در هاست های اشتراکی
سلامنوشته اصلی توسط online24
دوست عزیز من تو انجمن زیاد راجع به این موضوع تاپیک پیدا نکردم
یکیش خصوصی کردن php.ini بود
اون یکی هم بستن برخی از فانکشن هاش
من این کارهارو کردم
ولی هنوز کاربر هام از طریق cgi به هم دسترسی دارن
با تشکر
Email: hamihost [at] gmail (dot) com
پاسخ : وجود شل در هاست های اشتراکی
پاسخ : وجود شل در هاست های اشتراکی
علی جون دقت نمیکنی دیگه
اینا اکثرا به php.ini اشاره داشتن و به clamAV
ولی بحث من راجع به CGI هست که اصلا راجع بهش بحث نمیشه
من الان clamAV نصب کردم
و php.ini رو خصوصی سازی کردم
و function ها رو تا جایی که میتونستم بستم و خیلی کار های دیگه
دیگه کاربر بصورت عادی نمیتونه شل آپ کنه ولی با CGI براحتی میتونه (این مشکل من نیست - مشکل 90% هاستینگ های ایرانه که ازش قافلیم)
الانه که گیر بدن بگن درصد از کجا آوردی
قبلش ابهام رو برطرف کنم (منظور اکثر هاستینگ ها هست)
من قبلا پست دادم کسی جواب نداد
این آدرس پست
http://www.webhostingtalk.ir/f55/13949/
جوابتون هم rn4j1m1 داده
خیلی جاهایی که ادعا هم دارن این مشکل رو دارن
Email: hamihost [at] gmail (dot) com
پاسخ : وجود شل در هاست های اشتراکی
شما باید سرورتون رو کانفیگ امنیتی کنید.
در ضمن خوانده شدن فایل etc/passwd توسط دیگران مشکلی ایجاد نمیکنه. ذات این فایل world readable هست.
درخواست آموزش هم نکنید چون خیلی ببخشید یوزرهاتون موش آزمایشگاهی نیستند.
بدید براتون کانفیگ کنند.
پاسخ : وجود شل در هاست های اشتراکی
سلام
دوست عزیز بنده هیچ وقت چیزی رو که مطمئن نیستم رو سرورم تست نمیکنم (ممنون از هشدارتون)
من هاستینگ دارم نه بخواطر سود بلکه بخواطر علاقه به اینکار
دوست دارم یادگرفتن این چیز هارو
بحث اینکه بدم برام کانفیک کنن نیست
در هر حال ممنون
Email: hamihost [at] gmail (dot) com
پاسخ : وجود شل در هاست های اشتراکی
سلام.
دوست عزیز یه سری به فرومهای امنیت بزنید. در مورد اپلود شل هم بله فعلا خیلی راحته از cgi وارد شدن.(تا جایی که تو هاستهای ایرانی دیدم) در مورد مس دیفیس یا انواع حملات به سرورتون هم تا جدیدترین متد های حمله رو ندونین هر کانفیگی باز بعد یه مدت نفوذ پذیر میشه پس برای قوی بودن خودتون یاد بگیرید بهترین منبع هم مقاله های خارجی و سرچ در نت و ...
یکی از دوستان گفت اطلاعات etc/passwd خوندنش مشکلی ایجاد نمیکنه تا جایی که من میدونم خیلی حمله ها وابسته به همین فایل و البته یه مرتبه بالاتر مربوط به ادیت این فایل میشه.
در کل امنیت هاستهای ایران شاید به دلیل زیاد شدن ارائه دهنده خیلی پایین اومده یه بخش امنیت از واجبات فرومه که من تو وی اچ تی ندیدم.
اگه مقاله در مورد جلوگیری از حملات پیدا کردم باز تو همین تاپیک میزارم.
پاسخ : وجود شل در هاست های اشتراکی
سلام
به نکته خوبی اشاره کردی
یه بخش امنیت تخصصی برای این انجمن لازمه
Email: hamihost [at] gmail (dot) com
در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)
مجوز های ارسال و ویرایش
پاسخ با نقل قول