PDA

Bekijk Volledige Versie : Server directory's



ikkeweer
16/02/05, 15:29
Ik heb een probleem. Er kwam vanmiddag klant bij me die een script op zijn webspace had gezet (php) een soort file manager daarmee kan hij de complete hardeschijf zien van hele server waaronder dus ook door mappen van andere klanten bladeren. Hij kan niks wijzigen of verwijderen en uploaden maar wel downloaden. Ik heb het toen bij 4 andere webhosts geprobeerd en bij alle 4 kan ik ook gewoon door de mappen bladeren.

Iemand idee hoe ik dit kan blokkeren?

TechXP
16/02/05, 15:33
Wat voor machine is het? Linux of windows?
Ik had namelijk wel vernomen dat bij windows een of andere bug zit waardoor je andere accounts kan inzien oid.

djalken
16/02/05, 15:33
safe mode? Je lost het probleem ook op door php scripts onder de naam van de gebruiker uit te voeren, vanzelf sprekend heeft die gebruiker geen view rechten op andere content

ikkeweer
16/02/05, 15:34
het gaat om linux :) heb een chown geprobeerd chown user bestand.php gedaan maar kan nog steeds :(

djalken
16/02/05, 15:37
Origineel geplaatst door ikkeweer
het gaat om linux :) heb een chown geprobeerd chown user bestand.php gedaan maar kan nog steeds :(

Watvoor cp draai je? of draai je dr geen?

ikkeweer
16/02/05, 15:38
Ik draai cpanel. Ik heb safemode uitgeschakeld.

djalken
16/02/05, 15:41
Origineel geplaatst door ikkeweer
Ik draai cpanel. Ik heb safemode uitgeschakeld.

Zou je dat script misschien willen plaatsen? (of url naar geven zodat ik t kan downloaden) ff kijken wat ie hier doet

ikkeweer
16/02/05, 15:46
Hierbij linkje om hem te downloaden:
http://www.h2u.nl/code.zip afbeeldingen van het script worden ergens anders vandaan gehaald :)

djalken
16/02/05, 15:51
werkt hier ook, al kunnen mensen geen andere gebruikers mappen zien (/usr/home toont niets)

ikkeweer
16/02/05, 15:57
heb jij safemode aan of uit?

djalken
16/02/05, 16:01
Origineel geplaatst door ikkeweer
heb jij safemode aan of uit?

uit

MaffeMuis
16/02/05, 16:03
FreeBSD met Directadmin werkt het script ook. Je ook door heel de harde schijf wandelen en downloaden. Alleen de dir home is leeg.
Met safemodus uit.

Domenico
16/02/05, 16:06
Zie http://webhostingtalk.nl/showthread.php?threadid=57485

Dit soort scripts werken bij ons al heel lang niet meer.
:)

btw. die directories in home zijn natuurlijk makkelijk te raden.

djalken
16/02/05, 16:07
Origineel geplaatst door MaffeMuis
FreeBSD met Directadmin werkt het script ook. Je ook door heel de harde schijf wandelen en downloaden. Alleen de dir home is leeg.
Met safemodus uit.

Zelfde idee denk k, user heeft geen rechten op andere user zn mappen, zelfs geen view rechten. Wat mij betreft geen probleem ;)

Domenico
16/02/05, 16:07
Origineel geplaatst door djalken


Zelfde idee denk k, user heeft geen rechten op andere user zn mappen, zelfs geen view rechten. Wat mij betreft geen probleem ;)

FOUT!

MaffeMuis
16/02/05, 16:10
Origineel geplaatst door Domenico


FOUT!

ja zeer fout dit, want als safe modes uit staat kunnen ze ook me var in wandelen :P niet zo leuk om te weten dat ze me logs in kunnen kijken bijv..

djalken
16/02/05, 16:11
Origineel geplaatst door Domenico


FOUT!

in home staan usernames, die zijn niet zomaar te raden en dan nog, als je dr 1 weet heb je nog steeds geen view rechten in die map.....

En de rest van je server directories?
Zorg er voor dat dit script NIET gestart kan worden. Er zijn meerdere geavanceerde versies en soorten van dit script.

Better safe then sorry...

The MAzTER
16/02/05, 16:12
hier werkt het niet, zoals te verwachten was :)

je kan wel op het mapje home klikken maar die is gewoon leeg zoals het hoord en mapje daarboven is ook leeg.

djalken
16/02/05, 16:16
Origineel geplaatst door MaffeMuis


ja zeer fout dit, want als safe modes uit staat kunnen ze ook me var in wandelen :P niet zo leuk om te weten dat ze me logs in kunnen kijken bijv..

met dit script kan ik geen logs uit var bekijken kan k je meedelen ;)

MaffeMuis
16/02/05, 16:21
ik zie het al :P Ik had het alleen gedownload, maar nog niet in gekeken.

failed to open stream: Permission denied in ...

Toch maar voor de niet save modus user blokkeren ;)
Gaat ze niks aan hoe wij onze files noemen ;)

ikkeweer
16/02/05, 16:38
Maar iemand enig idee hoe ik het ook kan blokkeren?

The MAzTER
16/02/05, 17:12
je php files als user runnen ipv default apache zou een goede start zijn ;)

djalken
16/02/05, 17:16
Origineel geplaatst door The MAzTER
je php files als user runnen ipv default apache zou een goede start zijn ;)

Volgens mij doet een cpanel systeem dat al, correct me if I'm wrong

Stefan Mensink
16/02/05, 17:36
Of in de virtualhost zoiets als:


php_admin_value open_basedir "/web/gebruiker/:/usr/local/lib/php/:/safetmp/"

The MAzTER
16/02/05, 18:24
Origineel geplaatst door djalken


Volgens mij doet een cpanel systeem dat al, correct me if I'm wrong

standaard niet

Ik mag hopen dat je open_basedir sowieso aangezet had (zoals Stefan beschrijft). Dit kan je overigens via WHM eenvoudiger doen door:
'Tweak security' -> 'Php open_basedir Tweak' -> Enable php open_basedir Protection aanvinken

Domenico
16/02/05, 19:29
safe mode zal niet echt helpen met dit soort scripts.

HBCS
16/02/05, 20:08
ik zie met het sccript alleen de driectorry namen en meer niet ik kan niet in de mappen komen
:D

Domenico
16/02/05, 20:31
Heb je ook al geprobeerd een file te bekijken door het rechtstreeks in te voeren inclusief pad ?

HBCS
16/02/05, 20:42
nee als ik de naam die ik weet te staan laat zoeken die niet in mijn mappen staan ziet hij niets
kurig dat hij alleen laat zien wat ik mag zien

EWS
16/02/05, 20:58
Ik kan wel op mijn eigen server rondlopen maar ik kan niet in de directories van mijn klanten kijken

wv-
17/02/05, 15:01
olala, de mensen ondervinden hier het gebruik van rechten op bestanden/mappen :o


Origineel geplaatst door djalken


in home staan usernames, die zijn niet zomaar te raden en dan nog, als je dr 1 weet heb je nog steeds geen view rechten in die map.....

En de rest van je server directories?
Zorg er voor dat dit script NIET gestart kan worden. Er zijn meerdere geavanceerde versies en soorten van dit script.


homedirs kan je zien door /etc/passwd even in te lezen.

Goede rechten instellen in / (en onderliggende mappen) kan al heel wat helpen. Welkom op een linux/unix besturingssystemen mensen, ik zou maar eens beginnen met de "linux voor dummies" manual open te gooien bij "chmod".

Je moet wel oppassen als je alleen maar gebruik maakt van die open_basedir, want die was/is vroeger/nu omzeilbaar. Het beste wat je kan doen is scripts uit voeren met de user en group id van de gebruiker zelf in plaats van 1 user. Dit doe je met een zogenaamde (php)wrapper en kan je vinden op "google". :)

djalken
17/02/05, 15:06
feit blijft dat met dit script hier alleen mappen te zien zijn, bestanden openen werkt niet ;) weet iemand of http://www.hardened-php.net/ hiertegen beschermd?