phpmyadmin проверка по безопасности / Unix-системы

ReSQL.ru

2.0.56

Планшетная версия Контакт Правила FAQ Помощь

Гость

Войти | Профиль | Очистить

Нов. | Гор. | Избр.

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Действия ...

Доб. в избранное
Игнор. тему
Прикреп. тему
Пометить прочит. / непрочит.
Фильтр:
Сообщения автора темы
Сообщение содержит вложения
Сообщение содержит картинки
Сообщение содержит видеоклипы
Сообщение содержит аудиоклипы
Сообщение содержит картинки или видео 18+

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / phpmyadmin проверка по безопасности / 6 сообщений из 6, страница 1 из 1

13.09.2015, 00:40

#39050104

Netsystem

Гость

phpmyadmin проверка по безопасности

phpmyadmin работает через FastCGI, когда заливаю шелл в каталог /usr/share/phpMyAdmin/123.php, то почему-то доступен весь сервер, то есть можно походить по папкам всего сервера, как поправить чтобы нельзя было ходить по папкам всего сервера ?

конфиг NGINX

Код: sql

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.

location /phpmyadmin {
        alias /usr/share/phpMyAdmin;
        index index.php;
}
location ~* ^/phpmyadmin/(.+\.(jpg|jpeg|gif|css|png|js|ico|html|xml|txt))$ {
        alias /usr/share/phpMyAdmin/$1;
        error_page 404 @apache;
}
location ~ ^/phpmyadmin/(.+\.php)$ {
        alias /usr/share/phpMyAdmin/$1;
        fastcgi_pass unix:/var/run/php-fpm.apache.sock;
        fastcgi_index index.php;
        fastcgi_param SCRIPT_FILENAME $request_filename;
        include fastcgi_params;
        error_page 502 = @apache;
        error_page 404 = @apache;
}
location @apache {
        error_log /dev/null crit;
        proxy_pass http://127.0.0.1:8080;
        proxy_redirect http://127.0.0.1:8080 /;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
}

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

13.09.2015, 00:45

#39050105

netwind

Участник

Сообщения: 14 195
Рейтинг: 0 / 0

phpmyadmin проверка по безопасности

Netsystemphpmyadmin работает через FastCGI, когда заливаю шелл в каталог /usr/share/phpMyAdmin/123.php
Так это неверный тест.
Если каталог /usr/share/phpmyadmin это кусок пакетной системы и phpmyadmin обновляется централизованно, то туда при обычном взломе сайта никто ничего не зальет.

Заливайте туда где сайт. Возможно, там уже и так все нормально настроено.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

13.09.2015, 01:13

#39050116

Netsystem

Гость

phpmyadmin проверка по безопасности

netwind, а теперь из практики в phpmyadmin была уязвимость не так давно, что можно было запустить службу, но ее очень быстро вычислили и поправили! Далее, где гарантии что в пхпмайадин нету где-то уязвимости, что можно будет выполнить произвольный php код ? Ну и последнее, с сайтам там у меня все ок! Это вопрос возник исключительно из-за того что можно полазить по папкам сервера... на всяк случай еще блокирнул в конфиге вот такие функции чтобы уже наврняка...

Код: sql

1.
2.

php_admin_value[disable_functions] = symlink,show_source,parse_ini_file,curl_multi_exec,dl,exec,shell_exec,system,passthru,popen,pclose,proc_open,proc_nice,p
roc_terminate,proc_get_status,proc_close,pfsockopen,leak,apache_child_terminate,posix_kill,posix_mkfifo,posix_setpgid,posix_setsid,posix_setuid,phpinfo,apache_get_modules,disable_functions,posix_getpwuid,posix_getgrgid,disk_total_space,diskfreespace,php_uname

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

13.09.2015, 10:21

#39050152

netwind

Участник

Сообщения: 14 195
Рейтинг: 0 / 0

phpmyadmin проверка по безопасности

авторДалее, где гарантии что в пхпмайадин нету где-то уязвимости
Ёе дает поддержка дистрибутива, пакеты которого ты оптом и регулярно обновляешь. Или нет ?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

13.09.2015, 14:41

#39050254

Netsystem

Гость

phpmyadmin проверка по безопасности

netwind, /setup а интересно из сетапа можно как-то выполнить произвольный код ?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

13.09.2015, 14:47

#39050261

Netsystem

Гость

phpmyadmin проверка по безопасности

так все же как ограничить шелл если php работает как FastCGI ? а то, можно полазить по всему серверу...

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=25&mobile=1&tid=1481957]:	0ms
get settings:	9ms
get forum list:	13ms
check forum access:	2ms
check topic access:	2ms
track hit:	63ms
get topic data:	10ms
get forum data:	2ms
get page messages:	43ms
get tp. blocked users:	2ms
others:	343ms

total:	489ms