Защита от remview в Apache

0

0

Кто нибудь помогите защититса от этой бяки. remview - это удаленный просмотр файловой системы. Запускаешь этот php скрипт и ходиш по всей системе без проблем. Как правильно настроить Apache что бы он не пускал remview дальше каталога где она лежит?

Ссылка

← fetchnews

Бартер! Инфа с Интернета(вкл. Linux) в обмен на книги. →

chroot?

anonymous
(18.09.02 10:20:26 MSK)

Ссылка

chroot только тогда на весь апач надо ставить (это я уточняю на всякий случай). Но опять же, chroot не спасет от просмотра конфигов апача, файлов .htaccess и т.п. А как чрутить ПХП скрипты я даже не знаю. Только руками патчить... Да, safe mode покопай. Еще можно прибить функции типа readdir (disable functions в конфиге) и иже с ними.

Nefer ★
(18.09.02 16:03:06 MSK)

20 января 2004 г.

Ответ на: комментарий от Nefer 18.09.02 16:03:06 MSK

[root@mail] /usr/local/apache2/conf/virtual # cat mail.xxx.ru.conf <VirtualHost 2xx.xx.xx.xx> CustomLog /www/mail.xx.ru/logs/access_log common ErrorLog /www/mail.xx.ru/logs/error_log <Directory /www/mail.xx.ru/> DirectoryIndex index.php index.html index.htm index.shtml Options +Includes #--------------------------------------------------------php-security-section--- -- php_admin_flag engine on php_admin_flag expose_php off # php_admin_flag safe_mode on php_admin_flag track_vars on php_admin_flag allow_url_fopen off php_admin_flag magic_quotes_runtime on php_admin_value doc_root /www/mail.xx.ru php_admin_value open_basedir /www/mail.xx.ru/www php_admin_value safe_mode_protected_env_vars LD_LIBRARY_PATH php_admin_value safe_mode_allowed_env_vars PHP_ php_admin_value upload_max_filesize 2048000 php_admin_value max_execution_time 10 php_admin_value post_max_size 1M php_admin_value memory_limit 8M php_admin_flag mysql.allow_persistent off php_admin_value mysql.max_links 5 php_admin_flag pgsql.allow_persistent off php_admin_value pgsql.max_links 5 #--------------------------------------------------------php-security-section--- -- AddType application/x-httpd-php .php <Files *.php> SetOutputFilter PHP SetInputFilter PHP </Files> AddType text/html .shtml <FilesMatch "\.shtml[.$]"> SetOutputFilter INCLUDES </FilesMatch> </Directory> ServerName mail.xx.ru ServerAdmin postmaster@mail.xx.ru DocumentRoot "/www/mail.xx.ru/www" ScriptAlias /cgi-bin/ "/www/mail.xx.ru/cgi-bin/" </VirtualHost>

Вот так примерно. Щас ищу как забить Eval SHell Если кто знает-стукните пожалуйста в асю :732880 Спасибо

anonymous
(20.01.04 13:45:42 MSK)

Ссылка

Ответ на: комментарий от Nefer 18.09.02 16:03:06 MSK

НАШЕЛ! в /usr/local/lib/php.ini disable_functions exec,system,passthru,phpinfo,shell_exec,popen

anonymous
(20.01.04 14:16:52 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← fetchnews

Admin

Бартер! Инфа с Интернета(вкл. Linux) в обмен на книги. →

Похожие темы