IPB

Здравствуйте, гость ( Вход | Регистрация )

2 страниц V   1 2 >  
Ответить в данную темуНачать новую тему
> Как Защитить Windows Server + Stp Server От Php-shell?
Baggio
сообщение 12.2.2009, 21:08
Сообщение #1


Активный участник
***

Группа: Пользователи
Сообщений: 59
Регистрация: 10.12.2008
Из: Киев
Пользователь №: 692



Как защитить Windows server + STP server от php-shell?
Хотел бы услышать толковый совет как защитить мне мой сервер от php-shell или проще сказать от шелл скриптов?!
Одни говорят на Windows server, например возмём windows server 2003, это нереально, а другие гворят что реально но всё же скрипт толко будет видеть каталоги, но скачать не сможет.
Вот что мне предложили сделать:
1) включить: safe_mode, open_dir

2) И понятное дело поменять всем любимый Windows server на Linux или FreeBSD, это вариант пока отпадает.
Перейти в начало страницы
 
+Цитировать сообщение
MIchail1982
сообщение 12.2.2009, 21:48
Сообщение #2


Разработчик STPServer
***

Группа: Главные администраторы
Сообщений: 508
Регистрация: 7.3.2008
Из: Харьков, Украина
Пользователь №: 4



Правильно сказали smile.gif)) вот, почитай


--------------------
Все говорят, что у меня Windows глючит! А у меня не глючит... Может я что-то не так делаю?
Чак Норрис не юзает PHP
САМЫЙ БЫСТРЫЙ PHP фреймвёрк
Перейти в начало страницы
 
+Цитировать сообщение
rlbeor
сообщение 5.7.2010, 1:59
Сообщение #3


Активный участник
***

Группа: Пользователи
Сообщений: 50
Регистрация: 9.11.2008
Пользователь №: 655



и так по поводу shell
сделал как обсуждалось раньше
прописал в php.ini
safe_mode = On
open_basedir = " T:/home/admin/;T:/home/virtual/;T:/home/localhost/;"

залил сам , shell . получилось вот что. на сам диск T:/ зайти не могу а в остальном могу лазить где хочу и как хочу, с разрешением на удаление, редактирование всех файлов итд итп

как же всё таки защитить от удаления и редактирования файлов?
к примеру залили шел вот сюда в вирт T:\home\virtual\talala.ru\shel.php
и так шел у нас тут http://tralala.ru/shell.php
как сделать так что бы если даже и залили шел, то могли лазить только в данном каталоге то
есть в самом \tralala.ru\ без возможности на редактирование и удаление файлов!
P.S Заранее благодарен.
Перейти в начало страницы
 
+Цитировать сообщение
Admin
сообщение 5.7.2010, 5:19
Сообщение #4


Администратор
***

Группа: Главные администраторы
Сообщений: 838
Регистрация: 7.3.2008
Из: Орск
Пользователь №: 1



ну например так:

Создать пользователя с оочень крутым пассом, например apache, потом установить службу апачи т.е. чтобы он запускался как сервис, потом в настройках этой службы прописать запуск от данного пользователя ну и потом сделать доступ на все каталоги только читать либо вообше убрать доступ. Группа у этого пользователя должна быть не выше пользователя а лучше гость. Ну и дальше уже думать своей головой что как где дать права чтобы всё заработало.


--------------------
Лучший игровой сервер - Земля: карта всего одна, но на 6 миллиардов игроков;
читеров нет, админ терпеливый, но если уж забанит...


Перейти в начало страницы
 
+Цитировать сообщение
rlbeor
сообщение 5.7.2010, 11:57
Сообщение #5


Активный участник
***

Группа: Пользователи
Сообщений: 50
Регистрация: 9.11.2008
Пользователь №: 655



спасибо за ответ Admin

А есть еще какие-то способы? кроме перечисленного?
Перейти в начало страницы
 
+Цитировать сообщение
dobs
сообщение 5.7.2010, 14:10
Сообщение #6


Разработчик STPServer
***

Группа: Главные администраторы
Сообщений: 1113
Регистрация: 12.3.2008
Из: Kiev
Пользователь №: 16



По отключать опасные функции как минимум
Код
popen,exec,system,passthru,proc_open,shell_exec


--------------------
Перейти в начало страницы
 
+Цитировать сообщение
rlbeor
сообщение 5.7.2010, 19:15
Сообщение #7


Активный участник
***

Группа: Пользователи
Сообщений: 50
Регистрация: 9.11.2008
Пользователь №: 655



мммм прописанно уже
Код
disable_functions = "popen,dl,set_time_limit,passthru,system,exec,proc_open,shell_exec,proc_close
,symlink,eval,phpinfo"


не помогло, все так же могу создавать каталоги , редактировать и удолять файлы.!

не ужели больше нету не какого способа от защиты, на win32
Перейти в начало страницы
 
+Цитировать сообщение
dobs
сообщение 5.7.2010, 19:22
Сообщение #8


Разработчик STPServer
***

Группа: Главные администраторы
Сообщений: 1113
Регистрация: 12.3.2008
Из: Kiev
Пользователь №: 16



open_basedir для вирт. хоста сделайте, как - http://www.stpserver.ru/forum/index.php?sh...post&p=1809


--------------------
Перейти в начало страницы
 
+Цитировать сообщение
rlbeor
сообщение 5.7.2010, 20:40
Сообщение #9


Активный участник
***

Группа: Пользователи
Сообщений: 50
Регистрация: 9.11.2008
Пользователь №: 655



dobs:
огромное спасибо , прописал в конфигах вирта php_admin_value open_basedir T:/home/virtual/мой_сайт.net/
и залил шелл. то не пускает бродить дальше этого каталога.

теперь еще пару вопросов.
представьте к примеру что 100 виртуалок.
прописывать в каждый кофиг php_admin_value open_basedir T:/home/virtual/мой_сайт.net/ , это немного не удобно.
как то можно сделать так , что бы при создании через админку нового вирт хоста, само прописывало эту строку?

с бродением по каталогам решилась...
********************************************************************************
**

теперь вторая проблема. как запретить редактирование и удоление ...... файлов каталогов?
Перейти в начало страницы
 
+Цитировать сообщение
dobs
сообщение 5.7.2010, 21:08
Сообщение #10


Разработчик STPServer
***

Группа: Главные администраторы
Сообщений: 1113
Регистрация: 12.3.2008
Из: Kiev
Пользователь №: 16



Насчет автоматизации то найдите в файле
/home/admin/modules/apache/vhosts.php

Строки по добавлению домена, и добавьте туда свою с беисдиром

Цитата
теперь вторая проблема. как запретить редактирование и удоление ...... файлов каталогов?

Походу никак, в винде нету прав доступа,


--------------------
Перейти в начало страницы
 
+Цитировать сообщение
rlbeor
сообщение 5.7.2010, 22:14
Сообщение #11


Активный участник
***

Группа: Пользователи
Сообщений: 50
Регистрация: 9.11.2008
Пользователь №: 655



вы хотели сказать в httpd.conf ?
Перейти в начало страницы
 
+Цитировать сообщение
dobs
сообщение 5.7.2010, 22:24
Сообщение #12


Разработчик STPServer
***

Группа: Главные администраторы
Сообщений: 1113
Регистрация: 12.3.2008
Из: Kiev
Пользователь №: 16



Нет при генерации нового файла виртуального хоста


--------------------
Перейти в начало страницы
 
+Цитировать сообщение
Admin
сообщение 6.7.2010, 4:50
Сообщение #13


Администратор
***

Группа: Главные администраторы
Сообщений: 838
Регистрация: 7.3.2008
Из: Орск
Пользователь №: 1



Вообшето в винде в серверной есть прова доступа они есть даже в хп про(но их надо хитро включать) но вот в хп хоме такого понятия нету.


--------------------
Лучший игровой сервер - Земля: карта всего одна, но на 6 миллиардов игроков;
читеров нет, админ терпеливый, но если уж забанит...


Перейти в начало страницы
 
+Цитировать сообщение
rlbeor
сообщение 6.7.2010, 16:06
Сообщение #14


Активный участник
***

Группа: Пользователи
Сообщений: 50
Регистрация: 9.11.2008
Пользователь №: 655



Цитата(dobs @ 5.7.2010, 21:08) *
Насчет автоматизации то найдите в файле
/home/admin/modules/apache/vhosts.php

Строки по добавлению домена, и добавьте туда свою с беисдиром


Походу никак, в винде нету прав доступа,


ага понял
после строки 175
$new_vhost_entry .= "\r\n";

вписал код:

$new_vhost_entry .= "php_admin_value open_basedir T:/home/virtual/".$new_vhost_name."/"."\r\n";

................................................................................
................................................................

но вот не задача.
короче вот что заметил!
не трогал я еще файл vhosts.php
решил зайти в админку , и создать просто виртуальный хост.
ввел к примеру вирт хост "proverka" без кавычек перезагрузил сервер.
захожу в T:\home\virtual\ и не вижу каталога proverka потом
T:\usr\local\Apache\conf\vhosts.conf нету строки с данным хостом
и естественно нету в T:\usr\local\Apache\conf\vhosts\ конфига.
Да вот еще и не ведется запись в C:\WINDOWS\SYSTEM32\drivers\etc\hosts

все настройки введены из этого топика http://www.stpserver.ru/forum/index.php?showtopic=343

почему так?
Перейти в начало страницы
 
+Цитировать сообщение
dobs
сообщение 6.7.2010, 17:37
Сообщение #15


Разработчик STPServer
***

Группа: Главные администраторы
Сообщений: 1113
Регистрация: 12.3.2008
Из: Kiev
Пользователь №: 16



Ну советую откатать все назад т.к. админка создает хосты, а в примере все делается вручную...


--------------------
Перейти в начало страницы
 
+Цитировать сообщение
rlbeor
сообщение 6.7.2010, 17:55
Сообщение #16


Активный участник
***

Группа: Пользователи
Сообщений: 50
Регистрация: 9.11.2008
Пользователь №: 655



если сделаю откат, то все то что делалось для запрета shell будет уже сного уязвимо.
приходится тогда выбирать либо то либо то? или я недопонял ?


кстати в ручную тоже не хочет чет работать. создал я вирт хост в ручную.

все везде прописал.

в hosts все в одной строке введенно.
в ручную создал каталог в T:\home\virtual\fufel
T:\usr\local\Apache\conf\vhosts.conf тут добавил строку include conf/vhosts/fufel.conf
создал T:\usr\local\Apache\conf\vhosts\fufel.conf
вписал в T:\home\virtual\list.dat fufel
перезапускаю сервер . и тишина. не хочет видеть сайт
Перейти в начало страницы
 
+Цитировать сообщение
dobs
сообщение 6.7.2010, 19:04
Сообщение #17


Разработчик STPServer
***

Группа: Главные администраторы
Сообщений: 1113
Регистрация: 12.3.2008
Из: Kiev
Пользователь №: 16



Угум, если откатать то можно прописать беис дир для добавляемого хоста (/home/admin/modules/apache/vhosts.php) + в пхп.ини отрубить функции ну вроде и все...


--------------------
Перейти в начало страницы
 
+Цитировать сообщение
rlbeor
сообщение 6.7.2010, 20:26
Сообщение #18


Активный участник
***

Группа: Пользователи
Сообщений: 50
Регистрация: 9.11.2008
Пользователь №: 655



нашел еще один прикол.
короче открыл я hosts там вот что

127.0.0.1 localhost admin prime second kupi-proday love-radio agenchat forums forumd old olds

короче все открывались кроме old olds ну понятное дело я перенес их в нижнюю строку, вот так вот:

127.0.0.1 localhost admin prime second kupi-proday love-radio agenchat forums forumd
127.0.0.1 old olds

все заработало, НО. Зашел я в админку, создал еще один вирт хост , смотрю в host все пучком . вот строки

127.0.0.1 localhost admin prime second kupi-proday love-radio agenchat forums forumd
127.0.0.1 old olds full

как видим добавилась full , потом я взял через админку и удолил этот виртуальный хост full ? и вот что увидел!

127.0.0.1 localhost admin prime second kupi-proday love-radio agenchat forums forumd old olds

опять вернуло в одну строку))))
так и должно быть на win32?
иногда забываеш про hosts и порой мучаешся в догадках почему не работает. теперь буду в ручную создавать вирт хосты.
Перейти в начало страницы
 
+Цитировать сообщение
dobs
сообщение 6.7.2010, 20:29
Сообщение #19


Разработчик STPServer
***

Группа: Главные администраторы
Сообщений: 1113
Регистрация: 12.3.2008
Из: Kiev
Пользователь №: 16



угум это баг винды на других ОС в одну строку можно прописать сколько угодно хостов


--------------------
Перейти в начало страницы
 
+Цитировать сообщение
rlbeor
сообщение 20.4.2011, 13:20
Сообщение #20


Активный участник
***

Группа: Пользователи
Сообщений: 50
Регистрация: 9.11.2008
Пользователь №: 655



ребят ещё вопрос.

Я приобрёл ещё 1 винт. И установил на него stpserver.
сделал все как ранее описанно.
некоторые шеллы ничего не могут сделать. а некоторые могут и удалить и создать файлы-папки итд итп.

можно ли сделать так, что бы за пределы именно этого жесткого диска не выходить?
тоесть что бы не могли лазить в дисках С и D , а только по диску O например.
если да то как?
Перейти в начало страницы
 
+Цитировать сообщение

2 страниц V   1 2 >
Ответить в данную темуНачать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



RSS Текстовая версия Сейчас: 18.9.2019, 23:29
Друзья:

Locations of visitors to this page