Bekijk Volledige Versie : Server directory's
Ik heb een probleem. Er kwam vanmiddag klant bij me die een script op zijn webspace had gezet (php) een soort file manager daarmee kan hij de complete hardeschijf zien van hele server waaronder dus ook door mappen van andere klanten bladeren. Hij kan niks wijzigen of verwijderen en uploaden maar wel downloaden. Ik heb het toen bij 4 andere webhosts geprobeerd en bij alle 4 kan ik ook gewoon door de mappen bladeren.
Iemand idee hoe ik dit kan blokkeren?
Wat voor machine is het? Linux of windows?
Ik had namelijk wel vernomen dat bij windows een of andere bug zit waardoor je andere accounts kan inzien oid.
safe mode? Je lost het probleem ook op door php scripts onder de naam van de gebruiker uit te voeren, vanzelf sprekend heeft die gebruiker geen view rechten op andere content
het gaat om linux :) heb een chown geprobeerd chown user bestand.php gedaan maar kan nog steeds :(
Origineel geplaatst door ikkeweer
het gaat om linux :) heb een chown geprobeerd chown user bestand.php gedaan maar kan nog steeds :(
Watvoor cp draai je? of draai je dr geen?
Ik draai cpanel. Ik heb safemode uitgeschakeld.
Origineel geplaatst door ikkeweer
Ik draai cpanel. Ik heb safemode uitgeschakeld.
Zou je dat script misschien willen plaatsen? (of url naar geven zodat ik t kan downloaden) ff kijken wat ie hier doet
Hierbij linkje om hem te downloaden:
http://www.h2u.nl/code.zip afbeeldingen van het script worden ergens anders vandaan gehaald :)
werkt hier ook, al kunnen mensen geen andere gebruikers mappen zien (/usr/home toont niets)
heb jij safemode aan of uit?
Origineel geplaatst door ikkeweer
heb jij safemode aan of uit?
uit
FreeBSD met Directadmin werkt het script ook. Je ook door heel de harde schijf wandelen en downloaden. Alleen de dir home is leeg.
Met safemodus uit.
Zie http://webhostingtalk.nl/showthread.php?threadid=57485
Dit soort scripts werken bij ons al heel lang niet meer.
:)
btw. die directories in home zijn natuurlijk makkelijk te raden.
Origineel geplaatst door MaffeMuis
FreeBSD met Directadmin werkt het script ook. Je ook door heel de harde schijf wandelen en downloaden. Alleen de dir home is leeg.
Met safemodus uit.
Zelfde idee denk k, user heeft geen rechten op andere user zn mappen, zelfs geen view rechten. Wat mij betreft geen probleem ;)
Origineel geplaatst door djalken
Zelfde idee denk k, user heeft geen rechten op andere user zn mappen, zelfs geen view rechten. Wat mij betreft geen probleem ;)
FOUT!
Origineel geplaatst door Domenico
FOUT!
ja zeer fout dit, want als safe modes uit staat kunnen ze ook me var in wandelen :P niet zo leuk om te weten dat ze me logs in kunnen kijken bijv..
Origineel geplaatst door Domenico
FOUT!
in home staan usernames, die zijn niet zomaar te raden en dan nog, als je dr 1 weet heb je nog steeds geen view rechten in die map.....
En de rest van je server directories?
Zorg er voor dat dit script NIET gestart kan worden. Er zijn meerdere geavanceerde versies en soorten van dit script.
Better safe then sorry...
The MAzTER
16/02/05, 15:12
hier werkt het niet, zoals te verwachten was :)
je kan wel op het mapje home klikken maar die is gewoon leeg zoals het hoord en mapje daarboven is ook leeg.
Origineel geplaatst door MaffeMuis
ja zeer fout dit, want als safe modes uit staat kunnen ze ook me var in wandelen :P niet zo leuk om te weten dat ze me logs in kunnen kijken bijv..
met dit script kan ik geen logs uit var bekijken kan k je meedelen ;)
ik zie het al :P Ik had het alleen gedownload, maar nog niet in gekeken.
failed to open stream: Permission denied in ...
Toch maar voor de niet save modus user blokkeren ;)
Gaat ze niks aan hoe wij onze files noemen ;)
Maar iemand enig idee hoe ik het ook kan blokkeren?
The MAzTER
16/02/05, 16:12
je php files als user runnen ipv default apache zou een goede start zijn ;)
Origineel geplaatst door The MAzTER
je php files als user runnen ipv default apache zou een goede start zijn ;)
Volgens mij doet een cpanel systeem dat al, correct me if I'm wrong
Stefan Mensink
16/02/05, 16:36
Of in de virtualhost zoiets als:
php_admin_value open_basedir "/web/gebruiker/:/usr/local/lib/php/:/safetmp/"
The MAzTER
16/02/05, 17:24
Origineel geplaatst door djalken
Volgens mij doet een cpanel systeem dat al, correct me if I'm wrong
standaard niet
Ik mag hopen dat je open_basedir sowieso aangezet had (zoals Stefan beschrijft). Dit kan je overigens via WHM eenvoudiger doen door:
'Tweak security' -> 'Php open_basedir Tweak' -> Enable php open_basedir Protection aanvinken
safe mode zal niet echt helpen met dit soort scripts.
ik zie met het sccript alleen de driectorry namen en meer niet ik kan niet in de mappen komen
:D
Heb je ook al geprobeerd een file te bekijken door het rechtstreeks in te voeren inclusief pad ?
nee als ik de naam die ik weet te staan laat zoeken die niet in mijn mappen staan ziet hij niets
kurig dat hij alleen laat zien wat ik mag zien
Ik kan wel op mijn eigen server rondlopen maar ik kan niet in de directories van mijn klanten kijken
olala, de mensen ondervinden hier het gebruik van rechten op bestanden/mappen :o
Origineel geplaatst door djalken
in home staan usernames, die zijn niet zomaar te raden en dan nog, als je dr 1 weet heb je nog steeds geen view rechten in die map.....
En de rest van je server directories?
Zorg er voor dat dit script NIET gestart kan worden. Er zijn meerdere geavanceerde versies en soorten van dit script.
homedirs kan je zien door /etc/passwd even in te lezen.
Goede rechten instellen in / (en onderliggende mappen) kan al heel wat helpen. Welkom op een linux/unix besturingssystemen mensen, ik zou maar eens beginnen met de "linux voor dummies" manual open te gooien bij "chmod".
Je moet wel oppassen als je alleen maar gebruik maakt van die open_basedir, want die was/is vroeger/nu omzeilbaar. Het beste wat je kan doen is scripts uit voeren met de user en group id van de gebruiker zelf in plaats van 1 user. Dit doe je met een zogenaamde (php)wrapper en kan je vinden op "google". :)
feit blijft dat met dit script hier alleen mappen te zien zijn, bestanden openen werkt niet ;) weet iemand of http://www.hardened-php.net/ hiertegen beschermd?