Изоляция пользователей

SSL, TLS, Web protect, etc.

Модераторы: Art.i, vasya

Изоляция пользователей

Сообщение segajb » Пт янв 25, 2013 7:54 am

Ломанули один из сайтов через уязвимость в модуле, это нормально) но тут же левый код (умное встраивание iframe) появились и на других сайтах, хотя они пренадлежать другому пользователю. Я предпологал что если пользователи разные то сайты изолированы, видимо это не так. Как это можно исправить?
segajb
 
Сообщений: 48
Зарегистрирован: Чт июн 21, 2012 6:18 pm

Re: Изоляция пользователей

Сообщение ls » Пт янв 25, 2013 9:10 am

Пользователи изолированы. Может быть у взломщиков есть root доступ на сервер или ftp логины
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6384
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Re: Изоляция пользователей

Сообщение segajb » Пт янв 25, 2013 9:23 am

а использование mod_php а не fcgi не является угрозой? (если не обращать внимания на снижение прав на некоторые папки)
segajb
 
Сообщений: 48
Зарегистрирован: Чт июн 21, 2012 6:18 pm

Re: Изоляция пользователей

Сообщение ls » Пт янв 25, 2013 11:19 pm

Если Apache MPM-ITK, то вообще никаких проблем быть не может (там скрипты под пользователем работают владельцем сайта), если же у вас обычный Apache стоит (на шаблонах с Linux так), то там в соседние папки можно попасть если руками у сайта будет отключен open_basedir (тогда из него смогут попасть к другому пользователю), но переписать файлы на которые нет прав записи для всех (то есть 666/777) будет невозможно так как владелец пользователь, а не www (apache)
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6384
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS


Вернуться в Безопасность

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2