安全问题？

roczyl

一些函数还是需要禁用的。系统级的函数。

个人神话

原帖由 roczyl 于 2009-5-30 16:09 发表
一些函数还是需要禁用的。系统级的函数。

那roczyl 版主给我们讲讲怎么设置罗！

爱洞特漏

呵，你把shell_exec禁止了，免得被吓着

个人神话

原帖由 爱洞特漏 于 2009-5-30 16:20 发表
呵，你把shell_exec禁止了，免得被吓着

晕，我没有被吓着啊，我前面还测试了默认的安全，我没发现什么太大的潜在漏洞啊，漏洞更加没发现。

我是坚持给最大的权限给人家的。我配置win的服务器也是这样。

作为网管，我觉得我保证的服务器安全，网站应该由网站管理员自己搞好。而网管最多也是配合网站管理员做一些简单设置。 我就见过运营了大半年的网站被黑了，怪服务器设置不安全的。其实是数据库路径没改，后台密码默认没改。

lpstt

并不一定要拿到root的权限才算入侵，比如说能改写/home/ftp/xxx/index.html，把你的网站首页写入内容

lpstt

原帖由 个人神话 于 2009-5-30 16:02 发表
首先声明我不是很懂Freebsd。我自己测试了下楼主提供的php shell。

ls /usr/local/famp 这样确实能列出8888后台文件目录。

但是

mkdir /usr/local/famp/123

好像并没有成功建立目录，说明没有写入权限。 ...

ftp用户是存储在mysql数据库中的，看看pureftp中的配备文件就知道了，我强调过了，/usr/local/fmp上虚拟主机管理端，没有人会把他原原本本的放在外网上，至少要用ipfw作一下限制叫，所以famp本身没有太大安全问题，而是/home/ftp/xxxx   ，

lpstt

原帖由 个人神话 于 2009-5-30 16:02 发表
。 ..之后又看到楼主讲
echo "脚本" >/etc/rc.d/xx.sh  那系统岂不是拱手送给他人了。
我尝试这个命名了，没找到 /etc/rc.d/下有xx.sh  文件。

那只是打个比方的意思，/etc/rc.d必须要有root权限才能写的，并不是说famp有漏洞，作为网站管理员，我是想让网站越安全越好，当然不能影响使用。但只要有webshell生存的环境，我的心总是悬着的。
不知道你看过linux udev漏洞没有，只要有一个普通用户的权限，就可以获得root权限，我在cosnet5。2.redhat4上都试过，成功率高达100%。

[ 本帖最后由 lpstt 于 2009-5-30 17:22 编辑 ]

爱洞特漏

很难猜到那个目录，除非拿到管理员权限
前两天已经实现用“FTP用户名_网站标识”来做为目录，所以更难猜到了

爱洞特漏

如果拿到root用户，我也能黑别人的网站，呵
这是属于linux的问题啦！

开个玩笑，兄弟是一个蛮认真的人，我喜欢
欢迎提出更多的问题。
同时谢谢你！

哦，顺便说一下，famp后台已经允许修改php.ini了，前台禁用了哪些函数，后台并不会受到影响，所以，以后你们想禁什么就禁吧！懒得跟你们说。
偷笑中...

roczyl

原帖由 爱洞特漏 于 2009-5-30 17:21 发表
如果拿到root用户，我也能黑别人的网站，呵
这是属于linux的问题啦！

开个玩笑，兄弟是一个蛮认真的人，我喜欢
欢迎提出更多的问题。
同时谢谢你！

哦，顺便说一下，famp后台已经允许修改php.ini了，前台禁 ...

强啊。

palm

安全问题大家最关心拉

个人神话

原帖由 lpstt 于 2009-5-30 17:20 发表


那只是打个比方的意思，/etc/rc.d必须要有root权限才能写的，并不是说famp有漏洞，作为网站管理员，我是想让网站越安全越好，当然不能影响使用。但只要有webshell生存的环境，我的心总是悬着的。
不知道你看过l ...

我是门外汉啊，lpstt以后多发现安全这方面的问题啊！嘻嘻！