Ага, при этом в перловых скриптах open(label, "| program");...06.03.07 10:29 Число просмотров: 4860 Автор: GoDleSS Статус: Незарегистрированный пользователь
> большинство хостингов работают с php в safe mode и на > которых запрещен system|exec > очень уж это опасная функция Ага, при этом в перловых скриптах open(LABEL,"program"); продолжает работать...
Бред, а не действия!
Не буду сейчас описывать ГРОМАДНЫЙ список HSP с правами к клиентским директориям по данной схеме. Хочется лишь напомнить их клиентам, что многочисленные "ботнеты", с помощью которых организуют DDOS атаки, очень часто пополняются с помощью закачки на такой вот хостинг какого-то скрипта, за счет типичной ошибки в организации доступа к файлам и директориям других клиентов.
Если администраторы вашего хостинга считают, что из директории другого клиента, права на которую установлены в "r-x--x--x", нельзя читать файлы, то они глубоко заблуждаются. Если они считают, что запрет на чтение, к примеру, "/home", помешает узнать список домашних директорий, то они не знают элементарных вещей.
Любой клиент такого хостинга может зайти под своим SSH-аккаунтом, а потом, к примеру, дать такую команду:
for i in ls `cat /etc/passwd|awk -F ":" '{print $6}'`; do cat $i/public_html/index.html; done|more
Разумеется, злоумышленники могут читать не только index.html,...
нифкурил. решить-то проблему как? :) для ламеров-хостеров можно выводы? какие надо права поставить и на куда их ставить:? :)))
> Доверчивым любителям r-x--x--x посвящается > kostich > > > > Не буду сейчас описывать ГРОМАДНЫЙ список HSP с правами к > клиентским директориям по данной схеме. Хочется лишь > напомнить их клиентам, что многочисленные "ботнеты", с > помощью которых организуют DDOS атаки, очень часто > пополняются с помощью закачки на такой вот хостинг > какого-то скрипта, за счет типичной ошибки в организации > доступа к файлам и директориям других клиентов.
> Если администраторы вашего хостинга считают, что из > директории другого клиента, права на которую установлены в > "r-x--x--x", нельзя читать файлы, то они глубоко > заблуждаются. Если они считают, что запрет на чтение, к > примеру, "/home", помешает узнать список домашних > директорий, то они не знают элементарных вещей.
> Любой клиент такого хостинга может зайти под своим > SSH-аккаунтом, а потом, к примеру, дать такую команду:
> for i in ls `cat /etc/passwd|awk -F ":" '{print $6}'`; do
> cat $i/public_html/index.html; done|more
> Разумеется, злоумышленники могут читать не только > index.html,...
А я сталкивался, что "/etc/passwd" защищают от чтения.23.11.06 10:21 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Я не был никогда хостером и поэтому не понимаю одной вещи.23.11.06 12:00 Автор: fly4life <Александр Кузнецов> Статус: Elderman Отредактировано 23.11.06 12:05 Количество правок: 2
Заливаешь (формируешь) на хостинге файлик в кроновском формате с твоими действиями и вызываешь из скрипта
crontab your.file Ведь есть же всякие system'ы и exec'и...
> большинство хостингов работают с php в safe mode и на > которых запрещен system|exec > очень уж это опасная функция Ага, при этом в перловых скриптах open(LABEL,"program"); продолжает работать...
Бред, а не действия!
Чтоб по работать с базой MySQL средствами самой MySQL. Чтоб...23.11.06 12:39 Автор: AntonK Статус: Незарегистрированный пользователь
Чтоб по работать с базой MySQL средствами самой MySQL. Чтоб дать возможность пихнуть в cron чего-нибудь с нужными провами. Можно конечно для этих вещей сделать web-морду и пускать по https, но часто любят давать альтернативу - так и так можно сделать.
Ты это к чему ???24.11.06 23:39 Автор: mich Статус: Незарегистрированный пользователь
подробно о проекте
Анализ криптографических сетевых... 
