И еще один взлом версии 1.9 Need help!!!

Олег Васильевич я, а кто у вас владелец папки upload? — тот же юзер, под которым выполняются скрипты?

Ни кто не пробовал это исправление?

и все таки… что скажут гуру?

Олег Васильевич я, а кто у вас владелец папки upload? — тот же юзер, под которым выполняются скрипты?

Cкрипты сайта выполняются от имени владельца аккаунта, он же владелец папок и файлов
(если я всё правильно понимаю )

Олег Васильевич я, если у вас так, как вы написали (владелец файлов совпадает с исполнителем скриптов), то права у вас настроены неправильно.

Если владелец=исполнитель скриптов, то права 755 дают записывать в любую папку. 644 — позволяют записать в файл любую информацию.

В целях безопасности владелец папок/файлов и пользователь, от имени которого исполняются скрипты должны отличаться. ЛИБО права нужно ставить не 755 (папки) и 644 (файлы), а 555 и 444.

профи, а сложно сделать скрипт, который сканирует папки на наличие новых файлов и сообщает если ест таковые?

скрипт
И не только на наличие новых....
И так что умеет скрипт. Проверяет
Новые файлы, которые появились после последнего запуска скрипта.
Файлы, которые исчезли.
Файлы, у которых изменилось время последней модификации.
Файлы, у которых изменился размер.
Файлы, у которых изменилось содержимое (контрольная сумма).
Файлы у которых изменились права
Запуск по cron
Отправка сообщений об измененных файлах на почту
добавьте свой email в файле chfiles.php

В целях безопасности владелец папок/файлов и пользователь, от имени которого исполняются скрипты должны отличаться. ЛИБО права нужно ставить не 755 (папки) и 644 (файлы), а 555 и 444.

А можно вот с этого момента подробней))
У меня всё от root
а, например, кеш от www-data
как правильно юзверя создать и с какими правами?
(Я не про маны по линуху)

• Ɍɕβoṙη •, если владелец root, то права на папки 755 и на файлы 644 — это нормально, так и должно быть.

как правильно юзверя создать и с какими правами?

Тут ничего не скажу, я не есть "гуру" в администрировании сервера и всех тонкостей не знаю)

скрипт
И не только на наличие новых....
И так что умеет скрипт. Проверяет
Новые файлы, которые появились после последнего запуска скрипта.
Файлы, которые исчезли.
Файлы, у которых изменилось время последней модификации.
Файлы, у которых изменился размер.
Файлы, у которых изменилось содержимое (контрольная сумма).
Файлы у которых изменились права
Запуск по cron
Отправка сообщений об измененных файлах на почту
добавьте свой email в файле chfiles.php

• Ɍɕβoṙη •, скрипт кашу выводить, ничего не понять

если владелец root, то права на папки 755 и на файлы 644 — это нормально, так и должно быть.

Так и есть пока что, но, я понимаю, что это опасно и надо создать бамбузера, дать ему права и от него пусть скрипт работает...
Ток пока не разбирался, как их всех там пристроить))
Вот и парюсь на счёт безопастности на своём серваке.

Если владелец=исполнитель скриптов, то права 755 дают записывать в любую папку. 644 — позволяют записать в файл любую информацию. В целях безопасности владелец папок/файлов и пользователь, от имени которого исполняются скрипты должны отличаться. ЛИБО права нужно ставить не 755 (папки) и 644 (файлы), а 555 и 444.

Блин чтото совсем запутался…
Если владельца не трогаем, а просто на папки ставим 555, то
это не дает менять папку никому, включая владельца.
Но ведь права можно выставить через FTP…
тогда зачем 555, если всеравно зайдя по FTP можно поменять права…

Или зачем защита через смену владельца?
Я думал именно от ftp доступа, что бы там не могли права менять…

Короче im halt…

сделайте владельцем файла root и попробуйте по FTP изменить? при правильно настроенном сервере без привилегий root не должно получится

сделайте владельцем файла root и попробуйте по FTP изменить

не пойму как владельца в панели хостинга поменять…
Написал хостеру, жду ответ…

Посмотрел файлы кеша, они root, попробовал побаловаться…
не получилось
да теперь понятно все про владельца...

А всетаки, про 555 на папки. Ето получается защита не от ftp а от остального?

А всетаки, про 555 на папки. Ето получается защита не от ftp а от остального ?

вот тут просто и понятно написано: chmod.ru/ — Изменение прав доступа, пример там покликайте.

Примерно расскажу, что знаю )
Root это главный администратор. php не должен запускаться от root, проверяем и если это так, то исправляем владельца демона php. Также и мускул и апач. Обчно при установке отдельно для каждого создаются отдельные пользователи автоматом. Но на всякий случай проверить стоит.
Далее. При создании сайта, для каждого создаем отдельного пользователя. Допустим сайт site.ru. Создаем к примеру пользователя site, делаем его домашней папкой папку /home/site или /www/site и в папку закидываем файлы сайта(внутри ещё нужно будет создать папку www или public_html в зависимотси от настроек сервера). Далее настраиваем chroot пользователей в домашней папке в конфиге ftp сервера. Это для того, чтобы у пользователя не было доступа к директориям выше своей домашней папки, соответсвенно и к папкам других сайтов. Пользователю root вообще убираем ftp доступ. В Сентосе есть траблы с настройкой чроота. Погуглите. Сколько не старался, чроот удается настроить только на папку /home/. Время будет, надо будет ещё посидеть ).
Ещё один момент. Теперь, чтобы у апача был доступ к папкам сайта, назначаем юзера и владельца демона апача в одну группу.
Папки по умолчанию имеют 755(можно и 750, вроде бы), файлы 644. На папки которые нужна запись назначаем 775, на файлы(например, когда с админки меняем конфиг сайта) 664.
Если где-то ошибаюсь, пусть профи поправят. Дошел до всего сам, при помощи яндекса и экспериментов )
Для шаред хостингов этого ничего не нужно, там уже всё за вас сделано.