Page 2 of 2
Re: Человек получает данные других аккаунтов
Posted: Mon Aug 07, 2017 7:53 am
by Mr.Erbutw
Хм интересно , тема звучит так "Как без настройки сервера, его взломать"
Так как автор темы "Новичок", ему трудно понять что крутить.
Проанализировать логи, сменить пароли.
Какая OS ? у автора ...
Re: Человек получает данные других аккаунтов
Posted: Mon Aug 07, 2017 8:07 am
by diman55
Stesh wrote:В 95% достаточно не ставить никаких сайтов под admin. Тогда в случае взлома каждый будет играться в своей песочнице и не сможет прочитать config.php другого сайта, узнать логин и пароль к mysql и залезть в чужую базу. Вот если взломают/зальют шелл под admin - пиши пропало, это доступ ко всему серверу.
На учетке admin у меня нет и не было никаких сайтов, её я использовал только для добавления новых пользователей и создания тарифа. Все пользователи имеют такие привилегии:
Шаблон Web APACHE2: default
Шаблон DNSBIND9: default
Доступ по SSH: nologin
В шаблонах так же ничего не менял...
Re: Человек получает данные других аккаунтов
Posted: Mon Aug 07, 2017 1:13 pm
by PeaceData
В шаблоне Nginx Default нет защиты от симлинков на чужие файлы, поэтому их можно скачать, создав симлинк типа config.txt -> /home/other_user/web/site.com/config.php. Лучше использовать конфиг Nginx Hosting
http://c.vestacp.com/0.9.8/rhel/templat ... efault.tpl
http://c.vestacp.com/0.9.8/rhel/templat ... osting.tpl
Для Апача тоже лучше использовать шаблон Hosting или Basedir, там есть защита PHP open_basedir. В общем шаблоны Default не слишком подходять для хостинга.
Re: Человек получает данные других аккаунтов
Posted: Mon Aug 07, 2017 5:24 pm
by gecube_ru
А еще могу порекомендовать сервисы типа
http://patchman.co/
Они ищут уязвимости в популярных скриптах и правят их.
Re: Человек получает данные других аккаунтов
Posted: Tue Aug 08, 2017 8:47 am
by skurudo
diman55 wrote:Я все понимаю, просто хотелось бы как-то обезопасится от всего этого. У меня "голый" сервер, установлена только панель VESTA. Вот я и хочу узнать на этом форуме как можно защитится от подобных взломов. Что нужно/можно поставить на сервер кроме VESTA CP
Максимально обезопасить свое рабочее место
Использовать длинные пароли (регистр, буквы, цифры и знаки), ключи для авторизации.
Обновлять софты на сервере, следить за уязвимостями в выбранной вами ОС.
Re: Человек получает данные других аккаунтов
Posted: Tue Aug 08, 2017 8:51 am
by skurudo
PeaceData wrote:В шаблоне Nginx Default нет защиты от симлинков на чужие файлы, поэтому их можно скачать, создав симлинк типа config.txt -> /home/other_user/web/site.com/config.php.
Ссылки немного старые, они рабочие исключительно для совместимости :)
http://c.vestacp.com/rhel/7/templates/w ... efault.tpl
http://c.vestacp.com/debian/8/templates ... efault.tpl
Поддержка basedir добавлена еще в прошлом году ко всем шаблонам, к дефолтным тоже.
Re: Человек получает данные других аккаунтов
Posted: Wed Aug 09, 2017 1:33 pm
by PeaceData
Да, в общем в Nginx default нет опции "disable_symlinks if_not_owner", которая не дает открыть симлинк на чужой файл.
http://c.vestacp.com/rhel/7/templates/w ... efault.tpl
http://c.vestacp.com/rhel/7/templates/w ... osting.tpl