Rejestracja
•
Szukaj
•
FAQ
•
Użytkownicy
•
Grupy
•
Galerie
•
Zaloguj
Forum Y-G '04 Strona Główna
»
PHP
Napisz odpowiedź
Użytkownik
Temat
Treść wiadomości
Emotikony
Więcej Ikon
Kolor:
Domyślny
Ciemnoczerwony
Czerwony
Pomarańćzowy
Brązowy
Żółty
Zielony
Oliwkowy
Błękitny
Niebieski
Ciemnoniebieski
Purpurowy
Fioletowy
Biały
Czarny
Rozmiar:
Minimalny
Mały
Normalny
Duży
Ogromny
Zamknij Tagi
Add image to post
Opcje
HTML:
TAK
BBCode
:
TAK
Uśmieszki:
TAK
Wyłącz HTML w tym poście
Wyłącz BBCode w tym poście
Wyłącz Uśmieszki w tym poście
Kod potwierdzający: *
Wszystkie czasy w strefie GMT
Skocz do:
Wybierz forum
Darmowe Konto rapidshare Premium na własność!!
----------------
Legalny i Pewny Sposób na w?asne Konto Rapidshare NAWET NA ROK!
Download z Rapidshare
----------------
Seriale i filmy
Wszystko Bez Limitu ‹ Filmy ‹ Lektor PL/Dubbling
Wszystko Bez Limitu ‹ Filmy ‹ Polskie
Wszystko Bez Limitu ‹ Filmy ‹ Bajki/Filmy Animowane
Wszystko Bez Limitu ‹ Gry
Wszystko Bez Limitu ‹ Programy
Wszystko Bez Limitu ‹ Gry - R.I.P
Wszystko Bez Limitu ‹ Filmy ‹ Film/Napisy PL
Download z Torrentow
----------------
Torrent
Hard Truck
----------------
Dodatki do 18 Wos Haulin DOWNLOAD
Wprowadzenie
----------------
Wprowadzenie do hackingu - faq by Anubis
PHP
Komputery
----------------
Hacking
Bezpieczenstwo
Programowanie
Tworzenie przy komputerze
Metody
Keyloggery
Narzedzia
Metody ataków na strony internetowe - seria
Rodzaje wirusów.
RapidShare, czyli ściąganie za free przez radiówke
Offtopic
----------------
Humor
Czyli o wszystkim
Systemy Operacyjne
----------------
Windows
LinuxBSDUnix
Windows Expert
Filmy
----------------
Prison Break Sezon 3
Jestem Legendą
Prison Break Sezon 4
Sport
----------------
WIELKA TRIADA
Przegląd tematu
<table cellpadding="3" cellspacing="0" width="100%" class="forumline"> <thead> <caption><table border="0" cellspacing="0" cellpadding="0" width="100%" class="forumheader"> <tr> <td align="left" valign="bottom" width="25"><img src="http://picsrv.fora.pl/AcidTech/images/hdr_left.gif" width="25" height="27" alt="" /></td> <td align="center" class="forumheader-mid">Przegląd tematu</td> <td align="right" valign="bottom" width="25"><img src="http://picsrv.fora.pl/AcidTech/images/hdr_right.gif" width="25" height="27" alt="" /></td> </tr></table></caption> </thead> <tbody> <tr> <th class="thCornerL" width="22%" height="26">Autor</th> <th class="thCornerR">Wiadomość</th> </tr> <tr> <td width="22%" align="left" valign="top" class="row1"><span class="name"><a name=""></a><b>Anubis</b></span></td> <td class="row1" height="28" valign="top"><table width="100%" border="0" cellspacing="0" cellpadding="0"> <tr> <td width="100%"><img src="http://picsrv.fora.pl/AcidTech/images/post_old.gif" width="12" height="9" alt="Post" title="Post" border="0" /><span class="postdetails">Wysłany: Pon 19:27, 28 Sty 2008<span class="gen"> </span> Temat postu: Bezpieczeństwo dla adminów</span></td> </tr> <tr> <td colspan="2"><hr /></td> </tr> <tr> <td colspan="2"><span class="postbody">Najbardziej popularną metodą włamania na serwer www jest Remote File Include (PHP injection). Najbardziej podatne są kombajny typu Mambo, Joomla, których kopii w Internecie istnieją tysiące. Znalezienie jednej luki pozwala automatycznie zainfekować je wszystkie - bo użycie googli pozwala je wszystkie wyszukać - co do jednego. <br /> <br />Jeżeli mamy statystyczny serwer www to jest on najczęściej wykorzystywany przez kilku użytkowników, którzy stawiają swoje strony. Administrator takiego serwera (jeżeli w ogóle jest ktoś taki, a nawet jeżeli jest to albo jest ignorantem z dziedziny bezpieczeństwa albo ma to tam, gdzie słońce nie dochodzi) zazwyczaj nie konfiguruje w ogóle PHP, co staje się przyczyną kłopotów. <br /> <br />Jeżeli było włamanie na serwer i teraz szukają kozła ofiarnego to według moich szacunków 70% winy ponosi użytkownik, który postawił dziurawy skrypt/stronę a 30% admini^H lamer, który się tym serwerem opiekuje. <br /> <br />Zatem oprócz bezpiecznych skryptów należy także zadbać o bezpieczeństwo serwera. <br /><span style="font-weight: bold">1) Rozdzielamy przestrzeń życiową...</span> <br />Skrypty jednego usera nie powinny mieć możliwości przeglądania skryptów drugiego usera (np. w poszukiwaniu haseł <img src="http://picsrv.fora.pl/images/smiles/icon_wink.gif" alt="Wink" border="0" /> ) <br />Oprócz tego powinniśmy rozdzielić katalogi tymczasowe aby nie można było np. podglądać sesji. <br /> <br />w /etc/httpd/conf/httpd.conf tworzymy zatem wpisy dla każdego usera: <br /><table width="90%" cellspacing="0" cellpadding="0" align="center" class="quote-table"><tr> <td width="19" height="19" class="quote-corner"><img src="http://picsrv.fora.pl/AcidTech/images/quote_header.gif" width="19" height="19" alt="" /></td> <td width="100%" align="left" class="quote-header">Cytat:</td></tr><tr> <td class="quote-left"><img src="http://picsrv.fora.pl/AcidTech/images/spacer.gif" width="19" height="45" alt="" /></td> <td class="quote-text"> <br /><span style="font-weight: bold"><Directory /home/user1/public_html/> <br />php_admin_value open_basedir "/home/user1/public_html:/usr/lib/php:/home/user1/tmp:/usr/share/pear" <br />php_admin_value upload_tmp_dir "/home/user1/tmp" <br />php_admin_value session.save_path "/home/user1/tmp" <br /></Directory></span></td> </tr></table> <br /> <br /><span style="font-weight: bold">2) Weźmy na tapetę /etc/php.ini.</span> <br /> <br />Dyrektywa disable_functions pozwala nam zabronić userom uruchamiania niektórych funkcji. Na przykład: <br /> <br />disable_functions = dl, exec, passthru, system, shell_exec, popen, mail, fsockopen <br /> <br />Oprócz tego warto jeszcze ustawić: <br /> <br />allow_url_fopen = Off <br />allow_url_include = Off (dla PHP5) <br /><span style="font-weight: bold">3) Security by obscurity</span> <br /> <br />w konfiguracji apacza warto zrobić sobie virtualhosta obsługującego domenę a wszelkie inne requesty niech trafiają do głównego virtualhosta: <br /> <br />NameVirtualHost * <br /><VirtualHost *> <br /> DocumentRoot /var/www/html/ <br /> ServerName athlon.lemat.priv.pl <br /> ErrorLog "/var/log/httpd/error_log" <br /> CustomLog "/var/log/httpd/access_log" combined <br /></VirtualHost> <br /><VirtualHost *> <br /> DocumentRoot /home/lemat/public_html/ <br /> ServerName lemat.priv.pl <br /> ServerAlias <a href="http://www.lemat.priv.pl" target="_blank">www.lemat.priv.pl</a> <br /> ErrorLog "/var/log/httpd/lemat-error_log" <br /> CustomLog "/var/log/httpd/lemat-access_log" combined <br /></VirtualHost> <br /> <br />dzięki temu wszyscy potencjalni włamywacze skanujący zakresami IP trafią w pustkę. Dodam tylko, że w katalogu /var/www/html/ warto umieścić index.html opisujący w jaki sposób można się skontaktować z adminem danego serwera albo przekierowanie na domenę. <br /> <br />Oczywiście w /var/www/html/ nie umieszczamy podkatalogów ze skryptami, które zazwyczaj mają problemy z bezpieczeństwem - phpBB, Mambo, Joomla, Wordpress, phpMyAdmin z wpisanym na sztywno hasłem, skrypty statystyk etc. W pliku logu z głównego virtualhosta można zaobserwować jakich URLi szukają włamywacze. <br /><span style="font-weight: bold">4) Ruch WYchodzący z serwera</span> <br /> <br />Serwer www właściwie powinien tylko i wyłącznie akceptować połaczenia PRZYchodzące. Zatem można by założyć, że serwer nie będzie generował ruchu WYchodzącego, czyli krótko mowiąc można by wyciąć (DROP) wszystkie pakiety z rozpoczynające połączenia (SYN) w łańcuchu OUTPUT iptables zostawiając tylko połączenia typu RELATED, ESTABLISHED (-m state). <br /> <br />Wyjątki (trzeba zezwolić PRZED regułką DROPującą): <br />53 udp,tcp - zapytania do serwerów DNS <br />serwer FTP w trybie aktywnym - ale to załatwia RELATED <br />czasami jakaś strona pobiera z Internetu zawartość, np. kursy walut - to już trzeba ustalać indywidualnie z programistą - może to być protokołem http, ftp lub jakieś inne połączenia. <br /><span style="font-weight: bold">5) Safe mode</span> <br /> <br />Safe mode w zasadzie przynosi więcej problemów niz korzyści, aby to uruchomić to skrypty PHP musiałyby być uruchamiane z uprawnieniami użytkowników. Jednak ma jedną niezaprzeczalną zaletę - nie pozwala skryptom na długie działanie. Czasami mam okazję oglądać skrypty różnych włamywaczy - pierwszą rzeczą, którą robią to zapewnienie sobie nielimitowanego czasu wykonywania skryptu. Mogą wtedy nawiązać połaczenie zwrotne "ET dzwoni do domu" a taki proces w systemie jest w zasadzie "niewidoczny". <br /> <br />Pod adresem <a href="http://linio.terramail.pl/konfigphp.html" target="_blank">http://linio.terramail.pl/konfigphp.html</a> znajduje się znaczniej dokładniejszy opis zagadnień bezpieczeństwa autorstwa Henryka Liniowskiego. <br /> <br />Pod adresem <a href="http://maciaszek.pl/phpcon/download/bezpieczenstwo.pdf" target="_blank">http://maciaszek.pl/phpcon/download/bezpieczenstwo.pdf</a> znajduje się inny dokument dotyczący zagadnienia bezpieczeństwa w PHP autorstwa Marka Jakubowicza, tutaj fajnie poruszono zagadnienie modułów.</span></td> </tr> </table></td> </tr> <tr> <td colspan="2" class="spaceRow"><img src="http://picsrv.fora.pl/AcidTech/images/spacer.gif" alt="" width="1" height="1" /></td> </tr> </tbody> </table>
fora.pl
- załóż własne forum dyskusyjne za darmo
Powered by
phpBB
© 2001, 2005 phpBB Group
Design by
Freestyle XL
/
Music Lyrics
.
Regulamin
