Zákazník na webhostingu s bezpečnostní dírou ve webovkách

22. 10. 2016 01:22:42

Napsal kubiro;1333525
To si projděte, protože momentálně je potřeba zabezpečit aby nešlo přistupovat ze scriptů jednoho zákazníka k těm ostatním, protože nyní je 100% chyba v tomto a dost jistě přes PHP kód.
viz. fastcgi, open_basedir, disable_functions a další

už jsem vypnul allow_url_fopen, PHP open_basedir je u každého automaticky definované ...

22. 10. 2016 01:22:42

https://webtrh.cz/diskuse/zakaznik-na-webhostingu-s-bezpecnostni-dirou-ve-webovkach/strana/2#reply1232349

Default

(94 hodnocení)

22. 10. 2016 01:33:19

Napsal Pavel Rokec;1333526
už jsem vypnul allow_url_fopen, PHP open_basedir je u každého automaticky definované ...

Nemělo by jit taky přes PHP funkce scandir, unlink, require a další procházet jiné složky a soubory v jiných adresářích než vlastníka daného hostingu

22. 10. 2016 01:33:19

https://webtrh.cz/diskuse/zakaznik-na-webhostingu-s-bezpecnostni-dirou-ve-webovkach/strana/2#reply1232348

tomve

(22 hodnocení)

22. 10. 2016 01:36:54

Každý ftp účet, resp. složka domény, by měl mít vlastní práva, takže by se nic nemělo dostat do cizích složek a do OS už vůbec ne.

Tohle je regulérní průser hostingu, protože pokud někomu stačí kousek php kódu na ovládnutí celého serveru, tak admin je lama. Admin nemůže počítat s tím, že na serveru nebude díra v nějakém kódu a když tak donutí někoho k updatu.

22. 10. 2016 01:36:54

https://webtrh.cz/diskuse/zakaznik-na-webhostingu-s-bezpecnostni-dirou-ve-webovkach/strana/2#reply1232347

Pavel Rokec

22. 10. 2016 01:40:27

Napsal Tomve;1333529
Každý ftp účet, resp. složka domény, by měl mít vlastní práva, takže by se nic nemělo dostat do cizích složek a do OS už vůbec ne.
Tohle je regulérní průser hostingu, protože pokud někomu stačí kousek php kódu na ovládnutí celého serveru, tak admin je lama. Admin nemůže počítat s tím, že na serveru nebude díra v nějakém kódu a když tak donutí někoho k updatu.

Mám ISPCONFIG, kde je defaultně disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,

Teďka dávám všem zákazníkům zákaz fcí:

disable_functions =exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source

22. 10. 2016 01:40:27

https://webtrh.cz/diskuse/zakaznik-na-webhostingu-s-bezpecnostni-dirou-ve-webovkach/strana/2#reply1232346

Default

(94 hodnocení)

22. 10. 2016 01:47:01

Akorát curl_exec jde vetsinou používat všude a neni myslim tak nebezpečný, hlavně nastavit správně ty práva

22. 10. 2016 01:47:01

https://webtrh.cz/diskuse/zakaznik-na-webhostingu-s-bezpecnostni-dirou-ve-webovkach/strana/2#reply1232345

Jamira40

(4 hodnocení)

22. 10. 2016 02:34:05

Aaaa ISPConfig tak už presne viem čo sa stalo :-)

PS v ISPConfig je už 3 roky chyba ktorá umožňuje podobné záležitosti (áno nahlásená bola a do dnes neopravená) takže radšej IPSCfg nie...

22. 10. 2016 02:34:05

https://webtrh.cz/diskuse/zakaznik-na-webhostingu-s-bezpecnostni-dirou-ve-webovkach/strana/2#reply1232344

McFly

(4 hodnocení)

22. 10. 2016 07:36:34

Napsal Pavel Rokec;1333522
jak chcete pomocí php zabezpečit, aby nebyl přístup jinam?
Vídím to tak, že podezřelý zákazník si musí dát udělat update. Systém můžete zabezpečovat do nekonečna, pokud má zákazník starý web, tak je dírou do systému.

Doporučuju si zaplatit někoho, kdo tomu rozumí a nastaví vám to. Že jsou webové aplikace děravé, to je známá věc. Ale že takovou dírou dostane útočník přístup k dalším zákazníkům (potažmo celému systému), to je lameřina webhostingu.

22. 10. 2016 07:36:34

https://webtrh.cz/diskuse/zakaznik-na-webhostingu-s-bezpecnostni-dirou-ve-webovkach/strana/2#reply1232343

meter21

(2 hodnocení)

22. 10. 2016 10:51:56

"No když si zákazník objedná klasický webhosting, to znamená, že sdílí server s ostatními zákazníky, to v žádném případě neznamená, že si zákazníci lezou do svých databází. Každou db má každý zákazník sám pro sebe a pod heslem, stejně tak soubory webu."

Tak by to samozrejme po správnosti malo byť , ale písal si že sa niekto dostal do systému a menil súbory aj ostatným užívateľom hostingu takže predpokladám že tie súbory mohol aj čítať a keďže hesla k DB sú uložené v konfiguračných súboroch tak tie DB mohol skopírovať .

22. 10. 2016 10:51:56

https://webtrh.cz/diskuse/zakaznik-na-webhostingu-s-bezpecnostni-dirou-ve-webovkach/strana/2#reply1232342

Pavel Rokec

22. 10. 2016 15:24:57

Napsal meter21;1333574
"No když si zákazník objedná klasický webhosting, to znamená, že sdílí server s ostatními zákazníky, to v žádném případě neznamená, že si zákazníci lezou do svých databází. Každou db má každý zákazník sám pro sebe a pod heslem, stejně tak soubory webu."
Tak by to samozrejme po správnosti malo byť , ale písal si že sa niekto dostal do systému a menil súbory aj ostatným užívateľom hostingu takže predpokladám že tie súbory mohol aj čítať a keďže hesla k DB sú uložené v konfiguračných súboroch tak tie DB mohol skopírovať .

Nene, soubory hacker měnil pouze v rootech (weby).

---------- Příspěvek doplněn 22.10.2016 v 15:29 ----------

Vážení diskutující, děkuji všem za podnětné příspěvky a je mi ctí vám všem oznámit, že hackera se podařilo úplně vyšachovat pomocí:

disable_functions =exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source ve všech php.ini, co byly na serveru k dispozici.

Na novém serveru jsem tuto direktivu aplikoval u jednotlivých zákazníků individuálně, ale jdu teď protestovat funkce napadeného serveru se zablokovaným hackerem a pokud bude vše ok, pak budu aplikovat zákaz výše uvedených funkcí i na novém serveru centrálně.

22. 10. 2016 15:24:57

https://webtrh.cz/diskuse/zakaznik-na-webhostingu-s-bezpecnostni-dirou-ve-webovkach/strana/2#reply1232341

David Procházka

(39 hodnocení)

22. 10. 2016 17:19:00

tebe bych chtel jako server admina :D

22. 10. 2016 17:19:00

https://webtrh.cz/diskuse/zakaznik-na-webhostingu-s-bezpecnostni-dirou-ve-webovkach/strana/2#reply1232340

Pavel Rokec

22. 10. 2016 17:30:55

Napsal Re4DeR;1333628
tebe bych chtel jako server admina :D

Nabídku prosím do PM ;)

22. 10. 2016 17:30:55

https://webtrh.cz/diskuse/zakaznik-na-webhostingu-s-bezpecnostni-dirou-ve-webovkach/strana/2#reply1232339

Rudolf Procházka

(18 hodnocení)

22. 10. 2016 17:38:30

Napsal Aleš Jiříček;1333520
Vymlouvat se na ostatni je nesmysl. PHP jde pomerne hoden zabezpecit, aby nebyl rpistup jinam, vy jste to neudelali, opravdu se omlouvam pokud slo o tak sofistikovany utok ze proti nemu neexistuje ochrana... Ale ze zkusneosti proste predpokladam ze jste jen nezabezpeceni a divite se.... Po zakaznikovi prosim nic nevyzadujte, on am pravo mit nezabezpecenou aplikaci ktera mu zlikviduje ucet, protoze to on tim bude trpet,a le to ze jste si to nezabezpecili nijak a bohuzel se to nevysmtilo jen jemu, to proste jeho chyba neni...

přesně :D

nevím proč bych měl platit za to že není server zabezpečený :)

To je problém poskytovatele ne! Nebo si mám od poskytovatele sehnat všechny www a projít jestli si je majitel aktualizuje aby mi nenapadli web? :D

22. 10. 2016 17:38:30

https://webtrh.cz/diskuse/zakaznik-na-webhostingu-s-bezpecnostni-dirou-ve-webovkach/strana/2#reply1232338

Petyk

(3 hodnocení)

22. 10. 2016 18:50:24