Форум больше не используется. Присоединяйтесь к каналу #community-ru в Slack for TYPO3 community |
|
06.11.2008, 16:02 | #1 |
Senior Member
|
Защита localconf.php
Сегодня утром был взломан сайт, созданный на ТАЙПО.
Причиной оказалось изменение содержания "localconf.php". Посему хочу узнать: это я допустил оплошность, либо виноваты владельцы сервера? У файлов, загруженных на фтп-сервер, владелец 1771 [aiwband] и группа 1771 [aiwband]. У фалов, созданных самим ТАЙПО - кеш, установленные расширения, а также "localconf.php" - владелец 80 [www] и группа 1771 [aiwband]. На других серверах, с которыми мне приходилось работать, для директорий fileadmin, typo3conf, typo3temp, uploads и субдиректорий либо не меняю права доступа (запись имеет право только владелец), либо проставляю права записи для группы (так как бывает, что владлец, записывающий файлы по фтп и владелец, определённый для ТАЙПО разные, но группа у них одна). Но в данном случае также пришлось проставлять права записи и для всех (777), так как ТАЙПО ругался в Инсталл Тулзе, что он не может ничего писать (странно, ведь группа у него и фтп-пользователя одна и та же). Видимо, это и дало доступ злоумышленникам. Но в таком случае, если я уберу права записи для всех (774), то ТАЙПО вообще не сможет создавать никакие файлы в этих директориях. Вопрос такой: может ли владелец сервера что-то сделать, чтобы создаваемые ТАЙПО файлы также имели владельца 1771 [aiwband]? Ну, и, соотвественно, чтобы ТАЙПО мог читать и писать эти файлы. |
08.11.2008, 02:23 | #2 |
Senior Member
|
В файле readme который идет в поставке с тайпо3 есть краткие рекомендации по выставлению прав. Тайпо3, конечно, не мог писать файлы в директории, к которым нет доступа для веб-сервера (в Вашем случае, я так понимаю, это апач).
Думаю, для разработчика, важно иметь ssh доступ что бы свободно выставлять правильные права. Владельцем может быть либо пользователь, от имени которо будет осуществлятся редактирование либо тот же веб-сервер. Группа, как на меня, должна быть веб-сервера. Для удобства редактирования файлов, созданых тайпо3, я обычно добавляю пользователя в группу веб-сервера. Короче на примере, в корневой директории тайпо3: chown -R aiwband:www * chmod -R 775 fileadmin typo3conf typo3temp uploads четыре директории, которых с головой хватает для разработки любого проекта. Для всех остальных можно вообще отменить права на запись. Лично я думаю, что изменение файла localconf.php явилось не причиной, а уже следствием. И если Вы планируете работать и дальше с этим проектом, Вам необходимо искать место взлома. Это, кстати, может быть и сайт соседа, через который взламали весь сервер и получили доступ к редактированию файлов. В лучшем случае, кому-то удалось залить шел при помощи которого удалось отредактировать localconf.php. Возможно, это случилось, потому что у Вас где-то используется расширение с уязвимостями которое и стало причиной взлома, sql-иньекция. Возможно где то есть форма с возможностью подгрузки файлов... Ну вобщем рассмотреть любые возможности. Иначе, это может повторится снова, даже при условии правильно выставленных прав. Удачи Вам.
__________________
Стас Кобзарь |
11.11.2008, 23:35 | #3 |
Senior Member
|
Спасибо огромное за развёрнутый ответ!
Теперь всё стало намного понятнее Век живи - век учись, как говорится |
12.11.2008, 12:28 | #4 |
Senior Member
Регистрация: 21.11.2007
Сообщений: 217
|
Полгода назад я ради интереса "исследовал" один сайт Typo3: поиском по гуглу нашел сайт с незакрытым файлом инсталляции и авторизовался дефолтным паролем. После этого уже можно добавить админа и потом менять localconf.php. Проверьте на всякий случай.
О взломе конечно же предупредил фирму разработчика (с единственным лицом в штате) - но они кажется уже не функционируют. А сайт не обновлялся уже больше года. Кстати там же я достаточно обогатился опытом - очень было полезно видеть, как молодой человек 18 лет так замечательно разобрался с настройкой сайта. |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Защита информации на веб-странице | surfman | Общие вопросы | 8 | 21.04.2008 20:33 |
localconf.php выдает ошибку | GEugene | Общие вопросы | 0 | 21.12.2006 17:50 |
RealURL, tt_news (localconf.php) | OpTi | Общие вопросы | 0 | 31.10.2006 17:58 |
Localconf.php not writable - хелп! | Researcher | Общие вопросы | 2 | 10.10.2006 01:49 |
HTML из localconf.php | stoun | Общие вопросы | 0 | 07.04.2005 18:54 |