שאלה|פונקציות נחוצות - הוסטס

~~or4455~~ · 07-08-11, 00:02

שלום פורום הוסטס,
לפני זמן מה הודעתי לכם שיש לי שרת VPS שאיתו אני מחלק אחסונים בחינם.
השרת מאובטח אבל לא ב100%
בזמן האחרון התלוננתי על כך שילדים מעלים לאחסונים שאללים ומוציאים מידע רב על השרת,
המידע שהצליחו עד עתה להוציא:
1. רשימת יוזרים של כל השרת ( הבנתי שאי אפשר לחסום את הגישה לראות את היוזרים אבל אין דרך כלשהי ? חסימת פונקציה כלשהי ? חסימת PHP כלשהו או משהו כזה ?, אם כן תסבירו לי בבקשה איך לעשות שהרשימה הזו לא תהיה גלויה, תודה לעוזרים. )
2. הצליחו לראות את כל קובץ php.ini של השרת! ( אותו דבר, יש פונקציה כלשהי שאוכל לחסום? אם כן מהי? יש דרך כלשהי לחסום את האפשרות שהPHP.INI יהיה גלוי? אם כן בבקשה תדריכו אותי מה לעשות, תודה רבה לעוזרים. )
3. נודע לי שיש לי באג בphp של הDA,
בסוף 2007 דווח על באג ב PHP שלא מפאשר התחברות ל FTP מקובץ PHP,
https://bugs.php.net/bug.php?id=43118&edit=1 - באג בגירסא כלשהי שרצה על השרת שלי ומסכנת אותו . ( זה דבר שמשהו אמר לי גם, יש דרך לחסום את הבאג הזה ? אם כן בבקשה תדריכו אותי איך לחסום את זה, תודה לעוזרים )

עד עכשיו אלו כל הפונקציות שחסמתי, בבקשה תתנו לי עוד נחוצות אם צריך כי זה נורא יעזור לי,
disable_functions = exec,system,passthru,shell_exec,escapeshellarg,esc apeshellcmd,proc_close,proc_open,dl,popen,show_sou rce,pipe,win_shell_execute,win32_create_service,pe rl,ffi,disable_functions,/etc/passwd,/etc/domainalias,/etc/shadow,/var/mail,/etc/valiases

תודה ענקית לעוזרים,
אפילו בדבר אחד תודה רבה, זה יעזור נורא.

MyDns · 07-08-11, 00:59

זה לא תמיד עוזר חסימת פונקציות.
אני ממליץ לך על המדריך הבא שתוכל להבין את ההגדרות ולהתאים אותם לשרת שלך לפי צריכות הלקוחות
http://25yearsofprogramming.com/blog/20070808.htm
וגם
http://www.php.net/manual/en/security.php

~~or4455~~ · 07-08-11, 01:08

ציטוט:

נכתב במקור על ידי MyDns

זה לא תמיד עוזר חסימת פונקציות.
אני ממליץ לך על המדריך הבא שתוכל להבין את ההגדרות ולהתאים אותם לשרת שלך לפי צריכות הלקוחות
http://25yearsofprogramming.com/blog/20070808.htm
וגם
http://www.php.net/manual/en/security.php

קודם כל תודה,
אבל המדריכים האלה לא עוזרים לי בכלל.
אין לי ממש ידע בלינוקס ובשאר.
אם אפשר עזרה שתועיל בDA של הVPS,
כמו למשל,
גש לFile Editor שבשרת, הכנס לככה וככה והוסף את X ושנה את Y .
זה בגדול העזרה שאני מתכוון אליה.
אם תוכל לעזור לי בצורה שכזאת במשהו ממה שביקשתי אז תודה רבה.

~~or4455~~ · 08-08-11, 00:31

מישהו יכול להביא לי עוד פונקציות נחוצות לחסימה? שישפרו את רמת האבטחה ?
תודה לעוזרים.

אדיר · 09-08-11, 18:46

בהמשך לתגובות שקיבלת באשכול הקודם:

יש דברים שפשוט אי אפשר ללמוד ממדריך ובטח שלא תוך יום - יומיים.
אתה מבקש פתרונות קלים ונקודתיים לבעיות שהן מורכבות הרבה יותר.
כל הטיפים שתקבל כאן לא שקולים אפילו לרבע מאיכות העבודה שאדם מקצועי יספק לך.

אין לך ידע בתחום ואתה מתעסק בדברים שאתה פשוט לא מבין בהם,
אם אתה רוצה אבטחה רצינית, תהיה רציני ותפנה לאדם רציני,
אם אתה רוצה לעשות את זה בצורה חאפרית, תחסום כמה פונקציות ותקווה לטוב..

אם אתה רוצה רשימה של פונקציות שמומלץ לחסום, תחפש בגוגל יש המון,
האם זה יעזור לך? ברוב המקרים סביר להניח שכן,
האם זה מספיק והאם אתה יכול להיות בטוח שחסימת פונקציה מסויימת לא תהווה בעיה עבור אחת המערכות שלך? כנראה שלא.

07-08-11, 00:02	# 1
~~or4455~~ חסום דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Jul 2010 הודעות: 35	שאלה\|פונקציות נחוצות שלום פורום הוסטס, לפני זמן מה הודעתי לכם שיש לי שרת VPS שאיתו אני מחלק אחסונים בחינם. השרת מאובטח אבל לא ב100% בזמן האחרון התלוננתי על כך שילדים מעלים לאחסונים שאללים ומוציאים מידע רב על השרת, המידע שהצליחו עד עתה להוציא: 1. רשימת יוזרים של כל השרת ( הבנתי שאי אפשר לחסום את הגישה לראות את היוזרים אבל אין דרך כלשהי ? חסימת פונקציה כלשהי ? חסימת PHP כלשהו או משהו כזה ?, אם כן תסבירו לי בבקשה איך לעשות שהרשימה הזו לא תהיה גלויה, תודה לעוזרים. ) 2. הצליחו לראות את כל קובץ php.ini של השרת! ( אותו דבר, יש פונקציה כלשהי שאוכל לחסום? אם כן מהי? יש דרך כלשהי לחסום את האפשרות שהPHP.INI יהיה גלוי? אם כן בבקשה תדריכו אותי מה לעשות, תודה רבה לעוזרים. ) 3. נודע לי שיש לי באג בphp של הDA, בסוף 2007 דווח על באג ב PHP שלא מפאשר התחברות ל FTP מקובץ PHP, https://bugs.php.net/bug.php?id=43118&edit=1 - באג בגירסא כלשהי שרצה על השרת שלי ומסכנת אותו . ( זה דבר שמשהו אמר לי גם, יש דרך לחסום את הבאג הזה ? אם כן בבקשה תדריכו אותי איך לחסום את זה, תודה לעוזרים ) עד עכשיו אלו כל הפונקציות שחסמתי, בבקשה תתנו לי עוד נחוצות אם צריך כי זה נורא יעזור לי, disable_functions = exec,system,passthru,shell_exec,escapeshellarg,esc apeshellcmd,proc_close,proc_open,dl,popen,show_sou rce,pipe,win_shell_execute,win32_create_service,pe rl,ffi,disable_functions,/etc/passwd,/etc/domainalias,/etc/shadow,/var/mail,/etc/valiases תודה ענקית לעוזרים, אפילו בדבר אחד תודה רבה, זה יעזור נורא.

09-08-11, 18:46	# 5
אדיר עסק רשום [?] דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Mar 2008 מיקום: אשקלון הודעות: 1,714	בהמשך לתגובות שקיבלת באשכול הקודם: יש דברים שפשוט אי אפשר ללמוד ממדריך ובטח שלא תוך יום - יומיים. אתה מבקש פתרונות קלים ונקודתיים לבעיות שהן מורכבות הרבה יותר. כל הטיפים שתקבל כאן לא שקולים אפילו לרבע מאיכות העבודה שאדם מקצועי יספק לך. אין לך ידע בתחום ואתה מתעסק בדברים שאתה פשוט לא מבין בהם, אם אתה רוצה אבטחה רצינית, תהיה רציני ותפנה לאדם רציני, אם אתה רוצה לעשות את זה בצורה חאפרית, תחסום כמה פונקציות ותקווה לטוב.. אם אתה רוצה רשימה של פונקציות שמומלץ לחסום, תחפש בגוגל יש המון, האם זה יעזור לך? ברוב המקרים סביר להניח שכן, האם זה מספיק והאם אתה יכול להיות בטוח שחסימת פונקציה מסויימת לא תהווה בעיה עבור אחת המערכות שלך? כנראה שלא. __________________ LinkedIn \| אני, אדיר \| העלאת תמונות


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

07-08-11, 00:59	# 2
MyDns עסק רשום [?] דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Feb 2011 מיקום: כפר סבא גיל: 33 הודעות: 561	זה לא תמיד עוזר חסימת פונקציות. אני ממליץ לך על המדריך הבא שתוכל להבין את ההגדרות ולהתאים אותם לשרת שלך לפי צריכות הלקוחות http://25yearsofprogramming.com/blog/20070808.htm וגם http://www.php.net/manual/en/security.php

08-08-11, 00:31	# 4
~~or4455~~ חסום דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Jul 2010 הודעות: 35	מישהו יכול להביא לי עוד פונקציות נחוצות לחסימה? שישפרו את רמת האבטחה ? תודה לעוזרים.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)