Russian TYPO3 community Форум больше не используется. Присоединяйтесь к каналу #community-ru в Slack for TYPO3 community  

Вернуться   Russian TYPO3 community > Обсуждение общих технических вопросов > Общие вопросы

Ответ
 
Опции темы Опции просмотра
Старый 06.11.2008, 16:02   #1
Fearless Goblin
Senior Member
 
Аватар для Fearless Goblin
 
Регистрация: 18.07.2006
Сообщений: 108
Отправить сообщение для Fearless Goblin с помощью ICQ Отправить сообщение для Fearless Goblin с помощью Skype™
По умолчанию Защита localconf.php

Сегодня утром был взломан сайт, созданный на ТАЙПО.
Причиной оказалось изменение содержания "localconf.php".

Посему хочу узнать: это я допустил оплошность, либо виноваты владельцы сервера?

У файлов, загруженных на фтп-сервер, владелец 1771 [aiwband] и группа 1771 [aiwband]. У фалов, созданных самим ТАЙПО - кеш, установленные расширения, а также "localconf.php" - владелец 80 [www] и группа 1771 [aiwband].

На других серверах, с которыми мне приходилось работать, для директорий fileadmin, typo3conf, typo3temp, uploads и субдиректорий либо не меняю права доступа (запись имеет право только владелец), либо проставляю права записи для группы (так как бывает, что владлец, записывающий файлы по фтп и владелец, определённый для ТАЙПО разные, но группа у них одна). Но в данном случае также пришлось проставлять права записи и для всех (777), так как ТАЙПО ругался в Инсталл Тулзе, что он не может ничего писать (странно, ведь группа у него и фтп-пользователя одна и та же). Видимо, это и дало доступ злоумышленникам. Но в таком случае, если я уберу права записи для всех (774), то ТАЙПО вообще не сможет создавать никакие файлы в этих директориях.

Вопрос такой: может ли владелец сервера что-то сделать, чтобы создаваемые ТАЙПО файлы также имели владельца 1771 [aiwband]? Ну, и, соотвественно, чтобы ТАЙПО мог читать и писать эти файлы.
Fearless Goblin вне форума   Ответить с цитированием
Старый 08.11.2008, 02:23   #2
Uruguaygrep
Senior Member
 
Аватар для Uruguaygrep
 
Регистрация: 25.04.2007
Адрес: Donetsk, Ukraine
Сообщений: 116
Отправить сообщение для Uruguaygrep с помощью ICQ
По умолчанию

В файле readme который идет в поставке с тайпо3 есть краткие рекомендации по выставлению прав. Тайпо3, конечно, не мог писать файлы в директории, к которым нет доступа для веб-сервера (в Вашем случае, я так понимаю, это апач).
Думаю, для разработчика, важно иметь ssh доступ что бы свободно выставлять правильные права.
Владельцем может быть либо пользователь, от имени которо будет осуществлятся редактирование либо тот же веб-сервер.
Группа, как на меня, должна быть веб-сервера.
Для удобства редактирования файлов, созданых тайпо3, я обычно добавляю пользователя в группу веб-сервера.
Короче на примере, в корневой директории тайпо3:
chown -R aiwband:www *
chmod -R 775 fileadmin typo3conf typo3temp uploads

четыре директории, которых с головой хватает для разработки любого проекта.
Для всех остальных можно вообще отменить права на запись.

Лично я думаю, что изменение файла localconf.php явилось не причиной, а уже следствием.
И если Вы планируете работать и дальше с этим проектом, Вам необходимо искать место взлома. Это, кстати, может быть и сайт соседа, через который взламали весь сервер и получили доступ к редактированию файлов.
В лучшем случае, кому-то удалось залить шел при помощи которого удалось отредактировать localconf.php.
Возможно, это случилось, потому что у Вас где-то используется расширение с уязвимостями которое и стало причиной взлома, sql-иньекция. Возможно где то есть форма с возможностью подгрузки файлов... Ну вобщем рассмотреть любые возможности.

Иначе, это может повторится снова, даже при условии правильно выставленных прав.

Удачи Вам.
__________________
Стас Кобзарь
Uruguaygrep вне форума   Ответить с цитированием
Старый 11.11.2008, 23:35   #3
Fearless Goblin
Senior Member
 
Аватар для Fearless Goblin
 
Регистрация: 18.07.2006
Сообщений: 108
Отправить сообщение для Fearless Goblin с помощью ICQ Отправить сообщение для Fearless Goblin с помощью Skype™
По умолчанию

Спасибо огромное за развёрнутый ответ!
Теперь всё стало намного понятнее Век живи - век учись, как говорится
Fearless Goblin вне форума   Ответить с цитированием
Старый 12.11.2008, 12:28   #4
shuman
Senior Member
 
Регистрация: 21.11.2007
Сообщений: 217
По умолчанию

Полгода назад я ради интереса "исследовал" один сайт Typo3: поиском по гуглу нашел сайт с незакрытым файлом инсталляции и авторизовался дефолтным паролем. После этого уже можно добавить админа и потом менять localconf.php. Проверьте на всякий случай.
О взломе конечно же предупредил фирму разработчика (с единственным лицом в штате) - но они кажется уже не функционируют. А сайт не обновлялся уже больше года. Кстати там же я достаточно обогатился опытом - очень было полезно видеть, как молодой человек 18 лет так замечательно разобрался с настройкой сайта.
shuman вне форума   Ответить с цитированием
Ответ


Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB code is Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Защита информации на веб-странице surfman Общие вопросы 8 21.04.2008 20:33
localconf.php выдает ошибку GEugene Общие вопросы 0 21.12.2006 17:50
RealURL, tt_news (localconf.php) OpTi Общие вопросы 0 31.10.2006 17:58
Localconf.php not writable - хелп! Researcher Общие вопросы 2 10.10.2006 01:49
HTML из localconf.php stoun Общие вопросы 0 07.04.2005 18:54


Часовой пояс GMT +4, время: 19:54.


Работает на vBulletin® версия 3.8.1.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Перевод: zCarot

Хостинг и техническая поддержка: TYPO3 Лаборатория