Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
нифкурил. решить-то проблему как? :) для ламеров-хостеров... 09.02.07 11:14 Число просмотров: 5291
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
|
нифкурил. решить-то проблему как? :) для ламеров-хостеров можно выводы? какие надо права поставить и на куда их ставить:? :)))
> Доверчивым любителям r-x--x--x посвящается
> kostich
>
>
>
> Не буду сейчас описывать ГРОМАДНЫЙ список HSP с правами к
> клиентским директориям по данной схеме. Хочется лишь
> напомнить их клиентам, что многочисленные "ботнеты", с
> помощью которых организуют DDOS атаки, очень часто
> пополняются с помощью закачки на такой вот хостинг
> какого-то скрипта, за счет типичной ошибки в организации
> доступа к файлам и директориям других клиентов.
> Если администраторы вашего хостинга считают, что из
> директории другого клиента, права на которую установлены в
> "r-x--x--x", нельзя читать файлы, то они глубоко
> заблуждаются. Если они считают, что запрет на чтение, к
> примеру, "/home", помешает узнать список домашних
> директорий, то они не знают элементарных вещей.
> Любой клиент такого хостинга может зайти под своим
> SSH-аккаунтом, а потом, к примеру, дать такую команду:
>
for i in ls `cat /etc/passwd|awk -F ":" '{print $6}'`; do
> cat $i/public_html/index.html; done|more
> Разумеется, злоумышленники могут читать не только
> index.html,...
|
|
<site updates>
|
Доверчивым любителям r-x--x--x посвящается 22.11.06 17:59
Publisher: dl <Dmitry Leonov>
|
Доверчивым любителям r-x--x--x посвящается
kostich
Не буду сейчас описывать ГРОМАДНЫЙ список HSP с правами к клиентским директориям по данной схеме. Хочется лишь напомнить их клиентам, что многочисленные "ботнеты", с помощью которых организуют DDOS атаки, очень часто пополняются с помощью закачки на такой вот хостинг какого-то скрипта, за счет типичной ошибки в организации доступа к файлам и директориям других клиентов.
Если администраторы вашего хостинга считают, что из директории другого клиента, права на которую установлены в "r-x--x--x", нельзя читать файлы, то они глубоко заблуждаются. Если они считают, что запрет на чтение, к примеру, "/home", помешает узнать список домашних директорий, то они не знают элементарных вещей.
Любой клиент такого хостинга может зайти под своим SSH-аккаунтом, а потом, к примеру, дать такую команду:
for i in ls `cat /etc/passwd|awk -F ":" '{print $6}'`; do cat $i/public_html/index.html; done|more
Разумеется, злоумышленники могут читать не только index.html,...
Полный текст
|
|
нифкурил. решить-то проблему как? :) для ламеров-хостеров... 09.02.07 11:14
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
|
нифкурил. решить-то проблему как? :) для ламеров-хостеров можно выводы? какие надо права поставить и на куда их ставить:? :)))
> Доверчивым любителям r-x--x--x посвящается
> kostich
>
>
>
> Не буду сейчас описывать ГРОМАДНЫЙ список HSP с правами к
> клиентским директориям по данной схеме. Хочется лишь
> напомнить их клиентам, что многочисленные "ботнеты", с
> помощью которых организуют DDOS атаки, очень часто
> пополняются с помощью закачки на такой вот хостинг
> какого-то скрипта, за счет типичной ошибки в организации
> доступа к файлам и директориям других клиентов.
> Если администраторы вашего хостинга считают, что из
> директории другого клиента, права на которую установлены в
> "r-x--x--x", нельзя читать файлы, то они глубоко
> заблуждаются. Если они считают, что запрет на чтение, к
> примеру, "/home", помешает узнать список домашних
> директорий, то они не знают элементарных вещей.
> Любой клиент такого хостинга может зайти под своим
> SSH-аккаунтом, а потом, к примеру, дать такую команду:
>
for i in ls `cat /etc/passwd|awk -F ":" '{print $6}'`; do
> cat $i/public_html/index.html; done|more
> Разумеется, злоумышленники могут читать не только
> index.html,...
|
|
А я сталкивался, что "/etc/passwd" защищают от чтения. 23.11.06 10:21
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
|
|
| |
Я не был никогда хостером и поэтому не понимаю одной вещи. 23.11.06 12:00
Автор: fly4life <Александр Кузнецов> Статус: Elderman
Отредактировано 23.11.06 12:05 Количество правок: 2
|
|
Зачем хостерам давать своим клиентам шелл?
|
| | |
а шелл для этого в общем-то и не нужен 23.11.06 12:58
Автор: dl <Dmitry Leonov>
Отредактировано 23.11.06 12:59 Количество правок: 1
|
|
Если уж такая беда с правами, то все то же самое легко из скриптов достается.
|
| | | |
а шедуллер? 27.11.06 10:12
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
|
полезно через интервал времени генерировать статистику посещений или обрабатывать всою какую-то информацию и посылать отчеты
|
| | | | |
А в чем проблема? 27.11.06 10:43
Автор: J'JF <Dmytro Volhushyn> Статус: Elderman
|
Заливаешь (формируешь) на хостинге файлик в кроновском формате с твоими действиями и вызываешь из скрипта
crontab your.file
Ведь есть же всякие system'ы и exec'и...
|
| | | | | |
;-)) 27.11.06 11:19
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
большинство хостингов работают с php в safe mode и на которых запрещен system|exec
очень уж это опасная функция
|
| | | | | | |
Ага, при этом в перловых скриптах open(label, "| program");... 06.03.07 10:29
Автор: GoDleSS Статус: Незарегистрированный пользователь
|
> большинство хостингов работают с php в safe mode и на
> которых запрещен system|exec
> очень уж это опасная функция
Ага, при этом в перловых скриптах open(LABEL,"program"); продолжает работать...
Бред, а не действия!
|
| | |
Чтоб по работать с базой MySQL средствами самой MySQL. Чтоб... 23.11.06 12:39
Автор: AntonK Статус: Незарегистрированный пользователь
|
> Зачем хостерам давать своим клиентам шелл?
Чтоб по работать с базой MySQL средствами самой MySQL. Чтоб дать возможность пихнуть в cron чего-нибудь с нужными провами. Можно конечно для этих вещей сделать web-морду и пускать по https, но часто любят давать альтернативу - так и так можно сделать.
|
| | | |
Ты это к чему ??? 24.11.06 23:39
Автор: mich Статус: Незарегистрированный пользователь
|
|
|
|
|
подробно о проекте
Анализ криптографических сетевых...
