Web Hosting, web serveri i operativni sistemi Komercijalni hosting, web serveri, bezbednost, operativni sistemi na serverima |
|
Alati teme | Način prikaza |
05. 03. 2011. | #1 |
old school
Expert
Datum učlanjenja: 14.10.2006
Poruke: 460
Hvala: 39
17 "Hvala" u 14 poruka
|
Chmod 777
Pozdrav,
imam problem sto jednom klijentu u svim folderima koji su chmod 777 je upisivan malware sa phishing i spam skriptama. Da bi radile instalirane skripte, chmod na pojedinim folderima mora biti 777. Kako ovo da zaobidjem? |
05. 03. 2011. | #2 |
Ivan Dilber
Sir Write-a-Lot
|
ni na jednom hostingu ne bi morao da postoji 777 folder, ako je server podesen kako treba, tako da bih ti pre svega preporucio da nadjes bolji hosting...
a privremeno resenje je da zabranis pokretanje php skripti iz tog foldera... recimo mozes u .htaccesu da zabranis pristup .php fajlovima pomocu: RewriteRule ^taj_folder/.+\.php$ - [F]
__________________
Leadership is the art of getting people to want to do what you know must be done. |
"Hvala" ivanhoe za poruku: |
05. 03. 2011. | #3 |
old school
Expert
Datum učlanjenja: 14.10.2006
Poruke: 460
Hvala: 39
17 "Hvala" u 14 poruka
|
ali sve te skripte imaju imefajla.php.jpg ili slicno
da li bi tvoj rewrite radio i u tom slucaju? |
05. 03. 2011. | #4 |
Ivan Dilber
Sir Write-a-Lot
|
ako se .htacess nalazi u web rootu, onda ce ono gore da blokira sve php fajlove iz zadatog foldera (samo naravno zamenis taj_folder/ sa pravim recimo upload/)
Najaklse je da kreiras blabla.php u tom folderu i probas da mu pristupis iz browsera, trebalo bi da dobijes 403 Forbidden EDIT: Ovo sprecava da se direktno pristupi tim fajlovima, ali ne sprecava da se fajlovi include-uju pomocu lose napisanih skripti. Tako da pre svega proveri kod, da nigde ne radi require ili include iz varijable koja nije proverena, a razmisli i o selidbi na server sa boljom zastitom... 777 je igranje sa vatrom..
__________________
Leadership is the art of getting people to want to do what you know must be done. Poslednja izmena od ivanhoe : 05. 03. 2011. u 19:43. |
05. 03. 2011. | #6 |
Pukovnik u penziji
Grand Master
|
mod_fcgid takođe radi posao.
Možeš sve fajlove staviti na 600. |
06. 03. 2011. | #7 |
old school
Expert
Datum učlanjenja: 14.10.2006
Poruke: 460
Hvala: 39
17 "Hvala" u 14 poruka
|
Sinoc smo dobili poruku putem forme za mail
Ime: Haxor Haxor Telefon: E-mail: haxor_sh@net.hr Poruka: Vasa stranica je ranjiva na SQL injection..Popravite je sto prije! Username: [ja sakrio] Password: 11bf5213c6a38719fc98f4f4715abb24 (ladno' se probije) ~HaxOr |
06. 03. 2011. | #8 |
old school
Expert
Datum učlanjenja: 14.10.2006
Poruke: 460
Hvala: 39
17 "Hvala" u 14 poruka
|
Evo sad sam pogledao, uboli su lozinku... mada sam je ja kripovao u md5 jos kod user-a, a md5 ne moze da se vrati unazad.
Dajte neki updateovan link za sql injection prevenciju |
06. 03. 2011. | #9 |
Pukovnik u penziji
Grand Master
|
Pa šta imaš na serveru ?
Ako je joomletina provjeri plugine, template,... pošto je to šuplje kao sito... |
06. 03. 2011. | #10 |
expert
Grand Master
Datum učlanjenja: 11.04.2010
Poruke: 998
Hvala: 141
959 "Hvala" u 153 poruka
|
Kakav update, niti se SQL mjenjao niti PHP (ili šta već) koristiš...
PHP kôd:
PHP kôd:
Edit: Kako se ispiti polažu :P http://webarto.com/39/sql-injection-example Znači nema tu šta, blokiraš par ovih specijalnih znakova i ćao. Poslednja izmena od webarto : 06. 03. 2011. u 02:03. |
|
|