PDA

توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : وجود شل در هاست های اشتراکی



سلام عیلکم و رحمت الله
October 16th, 2010, 18:04
آیا در هاستهای اشتراکی اگر یکی از اکـونت ها شل آپ شده باشه ، شخص آپ کننده می تواند به دیتابیس سایر اعضا دسترسی پیدا کنه ؟ و خرابکاری کنه ؟

اگه بله چاره چیست ؟


با تشکر

Online24
October 16th, 2010, 18:08
بله ، انواع خرابکاری ها رو با توجه به وضعیت امنیتی سرور شما میتونند اعمال کنند . ( از جمله دسترسی به دیتابیس ها و فایل های کاربران دیگر که در حالت عادی واقعا بی دفاع هستند )

برای شناسایی و برطرف کردن این مشکل هم چندین تاپیک در انجمن ایجاد شده ... (Please Search !)

S4n470n
October 16th, 2010, 18:08
سلام عیلکم و رحمت الله و برکاته !;;)
خدمت شما که عرض کنم بحث راجع به این موضوع زیاد شده
بستگی داره سرور شما چطور کانفیگ شده باشه ، اگه درست کانفیگ بشه نمی تونه passwd هم بخونه چه برسه به فایل ها دیگر یوزر ها اما اگه درست کانفیگ نشه مشکلات زیادی ره به همراه می یاره

info_dlsong
October 16th, 2010, 19:19
بله ، انواع خرابکاری ها رو با توجه به وضعیت امنیتی سرور شما میتونند اعمال کنند . ( از جمله دسترسی به دیتابیس ها و فایل های کاربران دیگر که در حالت عادی واقعا بی دفاع هستند )

برای شناسایی و برطرف کردن این مشکل هم چندین تاپیک در انجمن ایجاد شده ... (Please Search !)

سلام
دوست عزیز من تو انجمن زیاد راجع به این موضوع تاپیک پیدا نکردم
یکیش خصوصی کردن php.ini بود
اون یکی هم بستن برخی از فانکشن هاش
من این کارهارو کردم
ولی هنوز کاربر هام از طریق cgi به هم دسترسی دارن
با تشکر

Online24
October 16th, 2010, 19:23
دوست عزیز من تو انجمن زیاد راجع به این موضوع تاپیک پیدا نکردم


http://www.webhostingtalk.ir/f58/14494/

http://www.webhostingtalk.ir/f58/9653/

http://www.webhostingtalk.ir/f41/12312/

http://www.webhostingtalk.ir/f14/7625/

http://www.webhostingtalk.ir/f56/1449/

http://www.webhostingtalk.ir/f41/12312/

info_dlsong
October 16th, 2010, 19:50
http://www.webhostingtalk.ir/f58/14494/

http://www.webhostingtalk.ir/f58/9653/

http://www.webhostingtalk.ir/f41/12312/

http://www.webhostingtalk.ir/f14/7625/

http://www.webhostingtalk.ir/f56/1449/

http://www.webhostingtalk.ir/f41/12312/
علی جون دقت نمیکنی دیگه
اینا اکثرا به php.ini اشاره داشتن و به clamAV
ولی بحث من راجع به CGI هست که اصلا راجع بهش بحث نمیشه
من الان clamAV نصب کردم
و php.ini رو خصوصی سازی کردم
و function ها رو تا جایی که میتونستم بستم و خیلی کار های دیگه
دیگه کاربر بصورت عادی نمیتونه شل آپ کنه ولی با CGI براحتی میتونه (این مشکل من نیست - مشکل 90% هاستینگ های ایرانه که ازش قافلیم)
الانه که گیر بدن بگن درصد از کجا آوردی
قبلش ابهام رو برطرف کنم (منظور اکثر هاستینگ ها هست)
من قبلا پست دادم کسی جواب نداد
این آدرس پست
http://www.webhostingtalk.ir/f55/13949/
جوابتون هم rn4j1m1 داده
خیلی جاهایی که ادعا هم دارن این مشکل رو دارن

Talahost.Com
October 17th, 2010, 00:51
شما باید سرورتون رو کانفیگ امنیتی کنید.
در ضمن خوانده شدن فایل etc/passwd‏ توسط دیگران مشکلی ایجاد نمیکنه. ذات این فایل world readable‏ هست.

درخواست آموزش هم نکنید چون خیلی ببخشید یوزرهاتون موش آزمایشگاهی نیستند.
بدید براتون کانفیگ کنند.

info_dlsong
October 17th, 2010, 01:51
شما باید سرورتون رو کانفیگ امنیتی کنید.
در ضمن خوانده شدن فایل etc/passwd‏ توسط دیگران مشکلی ایجاد نمیکنه. ذات این فایل world readable‏ هست.

درخواست آموزش هم نکنید چون خیلی ببخشید یوزرهاتون موش آزمایشگاهی نیستند.
بدید براتون کانفیگ کنند.
سلام
دوست عزیز بنده هیچ وقت چیزی رو که مطمئن نیستم رو سرورم تست نمیکنم (ممنون از هشدارتون)
من هاستینگ دارم نه بخواطر سود بلکه بخواطر علاقه به اینکار
دوست دارم یادگرفتن این چیز هارو
بحث اینکه بدم برام کانفیک کنن نیست
در هر حال ممنون

mahdi2009
October 17th, 2010, 17:35
سلام.

دوست عزیز یه سری به فرومهای امنیت بزنید. در مورد اپلود شل هم بله فعلا خیلی راحته از cgi وارد شدن.(تا جایی که تو هاستهای ایرانی دیدم) در مورد مس دیفیس یا انواع حملات به سرورتون هم تا جدیدترین متد های حمله رو ندونین هر کانفیگی باز بعد یه مدت نفوذ پذیر میشه پس برای قوی بودن خودتون یاد بگیرید بهترین منبع هم مقاله های خارجی و سرچ در نت و ...

یکی از دوستان گفت اطلاعات etc/passwd خوندنش مشکلی ایجاد نمیکنه تا جایی که من میدونم خیلی حمله ها وابسته به همین فایل و البته یه مرتبه بالاتر مربوط به ادیت این فایل میشه.

در کل امنیت هاستهای ایران شاید به دلیل زیاد شدن ارائه دهنده خیلی پایین اومده یه بخش امنیت از واجبات فرومه که من تو وی اچ تی ندیدم.

اگه مقاله در مورد جلوگیری از حملات پیدا کردم باز تو همین تاپیک میزارم.

info_dlsong
October 17th, 2010, 18:05
در کل امنیت هاستهای ایران شاید به دلیل زیاد شدن ارائه دهنده خیلی پایین اومده یه بخش امنیت از واجبات فرومه که من تو وی اچ تی ندیدم.
ارم.
سلام
به نکته خوبی اشاره کردی
یه بخش امنیت تخصصی برای این انجمن لازمه

Talahost.Com
October 18th, 2010, 03:49
یکی از دوستان گفت اطلاعات
etc/passwd خوندنش مشکلی
ایجاد نمیکنه تا جایی که من
میدونم خیلی حمله ها
وابسته به همین فایل و
البته یه مرتبه بالاتر
مربوط به ادیت این فایل
میشه.

اگه سرور درست تنظیم بشه هیچ مشکلی پیش نمیاد.
در این فایل فقط username‏ ها قرار دارند و کاربردش فقط برای brute force‏ هست.
تا حالا چیزی در مورد ادیت این فایل نشنیدم.