Защита localconf.php

Fearless Goblin · 06.11.2008, 16:02

Сегодня утром был взломан сайт, созданный на ТАЙПО.
Причиной оказалось изменение содержания "localconf.php".

Посему хочу узнать: это я допустил оплошность, либо виноваты владельцы сервера?

У файлов, загруженных на фтп-сервер, владелец 1771 [aiwband] и группа 1771 [aiwband]. У фалов, созданных самим ТАЙПО - кеш, установленные расширения, а также "localconf.php" - владелец 80 [www] и группа 1771 [aiwband].

На других серверах, с которыми мне приходилось работать, для директорий fileadmin, typo3conf, typo3temp, uploads и субдиректорий либо не меняю права доступа (запись имеет право только владелец), либо проставляю права записи для группы (так как бывает, что владлец, записывающий файлы по фтп и владелец, определённый для ТАЙПО разные, но группа у них одна). Но в данном случае также пришлось проставлять права записи и для всех (777), так как ТАЙПО ругался в Инсталл Тулзе, что он не может ничего писать (странно, ведь группа у него и фтп-пользователя одна и та же). Видимо, это и дало доступ злоумышленникам. Но в таком случае, если я уберу права записи для всех (774), то ТАЙПО вообще не сможет создавать никакие файлы в этих директориях.

Вопрос такой: может ли владелец сервера что-то сделать, чтобы создаваемые ТАЙПО файлы также имели владельца 1771 [aiwband]? Ну, и, соотвественно, чтобы ТАЙПО мог читать и писать эти файлы.

Uruguaygrep · 08.11.2008, 02:23

В файле readme который идет в поставке с тайпо3 есть краткие рекомендации по выставлению прав. Тайпо3, конечно, не мог писать файлы в директории, к которым нет доступа для веб-сервера (в Вашем случае, я так понимаю, это апач).
Думаю, для разработчика, важно иметь ssh доступ что бы свободно выставлять правильные права.
Владельцем может быть либо пользователь, от имени которо будет осуществлятся редактирование либо тот же веб-сервер.
Группа, как на меня, должна быть веб-сервера.
Для удобства редактирования файлов, созданых тайпо3, я обычно добавляю пользователя в группу веб-сервера.
Короче на примере, в корневой директории тайпо3:
chown -R aiwband:www *
chmod -R 775 fileadmin typo3conf typo3temp uploads

четыре директории, которых с головой хватает для разработки любого проекта.
Для всех остальных можно вообще отменить права на запись.

Лично я думаю, что изменение файла localconf.php явилось не причиной, а уже следствием.
И если Вы планируете работать и дальше с этим проектом, Вам необходимо искать место взлома. Это, кстати, может быть и сайт соседа, через который взламали весь сервер и получили доступ к редактированию файлов.
В лучшем случае, кому-то удалось залить шел при помощи которого удалось отредактировать localconf.php.
Возможно, это случилось, потому что у Вас где-то используется расширение с уязвимостями которое и стало причиной взлома, sql-иньекция. Возможно где то есть форма с возможностью подгрузки файлов... Ну вобщем рассмотреть любые возможности.

Иначе, это может повторится снова, даже при условии правильно выставленных прав.

Удачи Вам.

Fearless Goblin · 11.11.2008, 23:35

Спасибо огромное за развёрнутый ответ!
Теперь всё стало намного понятнее

Век живи - век учись, как говорится

shuman · 12.11.2008, 12:28

Полгода назад я ради интереса "исследовал" один сайт Typo3: поиском по гуглу нашел сайт с незакрытым файлом инсталляции и авторизовался дефолтным паролем. После этого уже можно добавить админа и потом менять localconf.php. Проверьте на всякий случай.
О взломе конечно же предупредил фирму разработчика (с единственным лицом в штате) - но они кажется уже не функционируют. А сайт не обновлялся уже больше года. Кстати там же я достаточно обогатился опытом - очень было полезно видеть, как молодой человек 18 лет так замечательно разобрался с настройкой сайта.

06.11.2008, 16:02	#1
Fearless Goblin Senior Member Регистрация: 18.07.2006 Сообщений: 108	Защита localconf.php Сегодня утром был взломан сайт, созданный на ТАЙПО. Причиной оказалось изменение содержания "localconf.php". Посему хочу узнать: это я допустил оплошность, либо виноваты владельцы сервера? У файлов, загруженных на фтп-сервер, владелец 1771 [aiwband] и группа 1771 [aiwband]. У фалов, созданных самим ТАЙПО - кеш, установленные расширения, а также "localconf.php" - владелец 80 [www] и группа 1771 [aiwband]. На других серверах, с которыми мне приходилось работать, для директорий fileadmin, typo3conf, typo3temp, uploads и субдиректорий либо не меняю права доступа (запись имеет право только владелец), либо проставляю права записи для группы (так как бывает, что владлец, записывающий файлы по фтп и владелец, определённый для ТАЙПО разные, но группа у них одна). Но в данном случае также пришлось проставлять права записи и для всех (777), так как ТАЙПО ругался в Инсталл Тулзе, что он не может ничего писать (странно, ведь группа у него и фтп-пользователя одна и та же). Видимо, это и дало доступ злоумышленникам. Но в таком случае, если я уберу права записи для всех (774), то ТАЙПО вообще не сможет создавать никакие файлы в этих директориях. Вопрос такой: может ли владелец сервера что-то сделать, чтобы создаваемые ТАЙПО файлы также имели владельца 1771 [aiwband]? Ну, и, соотвественно, чтобы ТАЙПО мог читать и писать эти файлы.

08.11.2008, 02:23	#2
Uruguaygrep Senior Member Регистрация: 25.04.2007 Адрес: Donetsk, Ukraine Сообщений: 116	В файле readme который идет в поставке с тайпо3 есть краткие рекомендации по выставлению прав. Тайпо3, конечно, не мог писать файлы в директории, к которым нет доступа для веб-сервера (в Вашем случае, я так понимаю, это апач). Думаю, для разработчика, важно иметь ssh доступ что бы свободно выставлять правильные права. Владельцем может быть либо пользователь, от имени которо будет осуществлятся редактирование либо тот же веб-сервер. Группа, как на меня, должна быть веб-сервера. Для удобства редактирования файлов, созданых тайпо3, я обычно добавляю пользователя в группу веб-сервера. Короче на примере, в корневой директории тайпо3: chown -R aiwband:www * chmod -R 775 fileadmin typo3conf typo3temp uploads четыре директории, которых с головой хватает для разработки любого проекта. Для всех остальных можно вообще отменить права на запись. Лично я думаю, что изменение файла localconf.php явилось не причиной, а уже следствием. И если Вы планируете работать и дальше с этим проектом, Вам необходимо искать место взлома. Это, кстати, может быть и сайт соседа, через который взламали весь сервер и получили доступ к редактированию файлов. В лучшем случае, кому-то удалось залить шел при помощи которого удалось отредактировать localconf.php. Возможно, это случилось, потому что у Вас где-то используется расширение с уязвимостями которое и стало причиной взлома, sql-иньекция. Возможно где то есть форма с возможностью подгрузки файлов... Ну вобщем рассмотреть любые возможности. Иначе, это может повторится снова, даже при условии правильно выставленных прав. Удачи Вам. __________________ Стас Кобзарь

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Защита информации на веб-странице	surfman	Общие вопросы	8	21.04.2008 20:33
localconf.php выдает ошибку	GEugene	Общие вопросы	0	21.12.2006 17:50
RealURL, tt_news (localconf.php)	OpTi	Общие вопросы	0	31.10.2006 17:58
Localconf.php not writable - хелп!	Researcher	Общие вопросы	2	10.10.2006 01:49
HTML из localconf.php	stoun	Общие вопросы	0	07.04.2005 18:54

11.11.2008, 23:35	#3
Fearless Goblin Senior Member Регистрация: 18.07.2006 Сообщений: 108	Спасибо огромное за развёрнутый ответ! Теперь всё стало намного понятнее Век живи - век учись, как говорится

12.11.2008, 12:28	#4
shuman Senior Member Регистрация: 21.11.2007 Сообщений: 217	Полгода назад я ради интереса "исследовал" один сайт Typo3: поиском по гуглу нашел сайт с незакрытым файлом инсталляции и авторизовался дефолтным паролем. После этого уже можно добавить админа и потом менять localconf.php. Проверьте на всякий случай. О взломе конечно же предупредил фирму разработчика (с единственным лицом в штате) - но они кажется уже не функционируют. А сайт не обновлялся уже больше года. Кстати там же я достаточно обогатился опытом - очень было полезно видеть, как молодой человек 18 лет так замечательно разобрался с настройкой сайта.