atsuki

No to chmurka w wykonaniu OVH, na razie tylko na stronach kimsufi: http://kimsufi.pl/cloud/

OVH mocno poszło w dol z tym kimsufi, a opłata instalacyjna... po 5 miesiącach się zwraca, huh, za swojego place 2x tyle...

Nie łapie plików tylko łapie requesty URI. A tu, jak widać to request URI wcale nie jest tożsamy z plikiem.

Mea culpa, o to mi chodziło

Druga sprawa - przy takiej strukturze, jaką opisał jednoliterowiec p, to wtedy można ustawić parser PHP tylko dla kontekstu

^/scripts/(.*)\.php$

, a nie dla całego docroota.

Można, można też dodać to co napisał na liście autor nginxa

location ~ \..*/.*\.php$ { 
return 403; 
} 

jak i wiele innych rzeczy... sprawdzanie uploadowanego pliku czy jpeg to jpeg etc. Ale np. Przy wordpressie nie ma żadnego problemu z uploadem pliku i jego wykonaniu.

@p

Aha. Ale to nie zmienia jednego podstawowego faktu. ile skryptów - for, blogow, cms ma układ katalogów w taki opisany przez ciebie sposób? Ile osób korzystających z nginxa ma skonfigurowane php w inny sposób niż ten podatny? Sposób dodania obsługi php w ten sposób jest w każdym (?) how to w tym temacie...

Więc dlatego jest to niebezpieczne...

Nie znam tego skryptu, tak więc ciężko mi się na ten temat wypowiadać.

 

Jeżeli w systemie plików struktura skyptu wygląda tak:

/
|-- /images/
|-- /scripts/
|-- /scripts/index.php
`-- /uploads/

to wszystko jest OK.[/code]

Rzadko się zdarza.. poza tym, ciągle chodzi o jedną rzecz, zapis w configu nginxa w postacie location ~ \.php$ {} łapie wszystkie pliki php, nie zaleznie gdzie są. Więc nawet jak masz w /images/obrazek.jpg, a skrypty masz w /scripts/index.php dalej obrazek.jpg sie wykona jako php, bo nginx uzyje konfiguracji \.php$

Ale to wymaga przemieszania skryptów perla i PHP

wystarczy, ze nginx uzyje konfiguracji \.php$, skrypt perla sie wyswietli, nginx nie ponowi sprawdzenia, i nie zmieni konfiguracji na \.pl$

true - ale to nie zmienia postaci rzeczy, że informacja może się przydać

a dodanie:

 	location ~ \..*/.*\.php$ {
	return 403;
	}

Nie zaszkodzi

to tak samo jak z windowsem xp i używania go na koncie z prawem administratora... też proszenie się o problemy, a procent domowych pecetów z xp nie chodzi na administracyjnym koncie jest niewielki.

Oryginalny post: http://www.80sec.com...nx-securit.html

po "ingliszu": http://www.webhostin...475#post6807475

a po naszemu, jest możliwość wykonania dowolnego kodu php (jak z innymi backendami?).

możliwy model ataku:

1) prowadzimy hosting obrazków/plików, jest możliwość uploadu plików ogólnie;

2) ktoś wgrywa plik, plik to obrazek.jpg (nazwa czy rozszerzenie nie istotne) z kodem php;

3) dowolne wywołanie bezpośrednie pliku http://domain.tld/pl...cosdowlnego.php spowoduje wykonanie spreparowanego pliku;

w zasadzie 99,99% konfiguracji jest podatnych, jak nie cale 100%, np taka:

location ~ \.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
include fastcgi_params;
} 

która jest.. wszędzie, w każdym how to itp.

Możliwe formy zabezpieczenia się? Polecam lekturę: http://forum.nginx.o...ead.php?2,88845

// się pośpieszyłem... może miły mod przenieść do działu traktującego o bezpieczeństwie? :>

Jeszcze może dodać rekordy AAAA oraz SRV, nie zaszkodzi

http://www.redhat.co...ps/meminfo.html

A tak się głupio zapytam.. co ci ten commited przeszkadza? Sam napisałeś wcześniej, ze przez crony ci serwer nie wyrabia, więc zajmij się problemem, a nie szukaniem innych...

Poczytaj o wykorzystywaniu ramu w linuksie. .htaccess i optymalizacja ramu ?_?

jezeli chodzi tylko o konta ftp... nie lepiej skonfigurować proftpd z mysql (userzy via mysql) i do tego sa skrypty do administracji. Sporo jest tego na howtoforge...

Jak mnie pamięć nie myli.. alias działa w obrębie określonej lokalizacji root w server{}. Czyli gdzieś tam pod server_name dodaj root sciezka; Ale głowy nie dam sobie uciąć :/

Pamiętaj ze nginx działa z prawami usera www-data. A jeżeli odwołujesz się do jakichkolwiek plików innych niż *.php nginx serwuje sam treść, z pominięciem procesu PHP, więc .. masz odpowiedź? :>

hmm.. moze tak, dla przykładu:

/usr/bin/spawn-fcgi -a 127.0.0.1 -p 9000 -u user -g grupa -f "/usr/bin/php5-cgi -c /etc/php5/cgi/dowolne.ini" -C 1 -P /var/run/fastcgi-php.pid 

hint - fastcgi poprzez spawn-fcgi bądź lepsze php-fpm, znajdziesz opisy na howtoforge.com

Zablokuj komende shell_exec, i wszystkie inne, ktore uznasz za stosowne. jak masz kilku userow tylko to np mozesz kazdemu dac oddzielny process php z wlasnym userem. Mozesz dokompilowac fpm do php... opcji jest sporo

Skoro autor odcięty jest od swojej strony, to nie dziwi, że nie może dać tam infa, że w każdej chwili freedns może przestać działać....

xname.org - przeniesienie domen jest szybkie. wchodzisz na konfiguracje, i bierzesz import z: 194.145.96.21. parę kliknięc i po sprawie tylko... na xname org nie ma rekodów SRV :/

i lektura howtoforge.com

dodatkowo mozesz zastosowac polaczenie nginx -> apacha. nginx wszystkie pliki statyczne, przez apache leca tresci dynamiczne. jest to pare minut roboty dla jednej strony, a w zaleznosci od tresci, serwer nagle moze obsluzyc znacznie wiecej polaczen. Ja na najtanszym kimsufi z ovh nie mam problemow zadnych z kiluset userami naraz.

z tego co piszesz.. masz sobie router, za ktorym stoi twoj komputerek a na nim postawiony apache.. wiec, jedyny twoj problem, zakladajac ze masz publiczne ip, to przekierowac 80 na twoj komputer.. i tyle.

jak do 250 to mozesz zainteresowac sie ovh, ale nie z kimsufi tylko z ich normalnej oferty, na przyklad super plan. Tutaj juz nie przycinaja lacza do 10 mbit/s jak na kimsufi.

a mam moze glupie pytanie.. w czym to wadzi?

wyedtuje sobie skorke czy inne pliki odpowiadajace za to.. jak tak Ci to bardzo pszeszkadza ^^

to dodaj do tego jeszcze np fail2ban