Человек получает данные других аккаунтов
Re: Человек получает данные других аккаунтов
Хм интересно , тема звучит так "Как без настройки сервера, его взломать"
Так как автор темы "Новичок", ему трудно понять что крутить.
Проанализировать логи, сменить пароли.
Какая OS ? у автора ...
Так как автор темы "Новичок", ему трудно понять что крутить.
Проанализировать логи, сменить пароли.
Какая OS ? у автора ...
Re: Человек получает данные других аккаунтов
На учетке admin у меня нет и не было никаких сайтов, её я использовал только для добавления новых пользователей и создания тарифа. Все пользователи имеют такие привилегии:Stesh wrote:В 95% достаточно не ставить никаких сайтов под admin. Тогда в случае взлома каждый будет играться в своей песочнице и не сможет прочитать config.php другого сайта, узнать логин и пароль к mysql и залезть в чужую базу. Вот если взломают/зальют шелл под admin - пиши пропало, это доступ ко всему серверу.
Шаблон Web APACHE2: default
Шаблон DNSBIND9: default
Доступ по SSH: nologin
В шаблонах так же ничего не менял...
Re: Человек получает данные других аккаунтов
В шаблоне Nginx Default нет защиты от симлинков на чужие файлы, поэтому их можно скачать, создав симлинк типа config.txt -> /home/other_user/web/site.com/config.php. Лучше использовать конфиг Nginx Hosting
http://c.vestacp.com/0.9.8/rhel/templat ... efault.tpl
http://c.vestacp.com/0.9.8/rhel/templat ... osting.tpl
Для Апача тоже лучше использовать шаблон Hosting или Basedir, там есть защита PHP open_basedir. В общем шаблоны Default не слишком подходять для хостинга.
http://c.vestacp.com/0.9.8/rhel/templat ... efault.tpl
http://c.vestacp.com/0.9.8/rhel/templat ... osting.tpl
Для Апача тоже лучше использовать шаблон Hosting или Basedir, там есть защита PHP open_basedir. В общем шаблоны Default не слишком подходять для хостинга.
Re: Человек получает данные других аккаунтов
А еще могу порекомендовать сервисы типа http://patchman.co/
Они ищут уязвимости в популярных скриптах и правят их.
Они ищут уязвимости в популярных скриптах и правят их.
Re: Человек получает данные других аккаунтов
Максимально обезопасить свое рабочее местоdiman55 wrote:Я все понимаю, просто хотелось бы как-то обезопасится от всего этого. У меня "голый" сервер, установлена только панель VESTA. Вот я и хочу узнать на этом форуме как можно защитится от подобных взломов. Что нужно/можно поставить на сервер кроме VESTA CP
Использовать длинные пароли (регистр, буквы, цифры и знаки), ключи для авторизации.
Обновлять софты на сервере, следить за уязвимостями в выбранной вами ОС.
Re: Человек получает данные других аккаунтов
Ссылки немного старые, они рабочие исключительно для совместимости :)PeaceData wrote:В шаблоне Nginx Default нет защиты от симлинков на чужие файлы, поэтому их можно скачать, создав симлинк типа config.txt -> /home/other_user/web/site.com/config.php.
http://c.vestacp.com/rhel/7/templates/w ... efault.tpl
http://c.vestacp.com/debian/8/templates ... efault.tpl
Поддержка basedir добавлена еще в прошлом году ко всем шаблонам, к дефолтным тоже.
Re: Человек получает данные других аккаунтов
Да, в общем в Nginx default нет опции "disable_symlinks if_not_owner", которая не дает открыть симлинк на чужой файл.
http://c.vestacp.com/rhel/7/templates/w ... efault.tpl
http://c.vestacp.com/rhel/7/templates/w ... osting.tpl
http://c.vestacp.com/rhel/7/templates/w ... efault.tpl
http://c.vestacp.com/rhel/7/templates/w ... osting.tpl