а причем тут phpmyadmin, если исполняется скрипт от имени вебсервера?

конечно, если настроено все нормально. beerdy Давай сюда конфиги свои

Сервер httpd работает от apache -

root      2327  0.0  1.0 592320 19928 ?        Ss   13:56   0:00 /usr/sbin/httpd -DFOREGROUND
apache    2329  0.0  0.4 592452  8992 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND
apache    2330  0.0  0.4 592452  8992 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND
apache    2331  0.0  0.4 592452  8992 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND
apache    2332  0.0  0.4 592452  8992 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND
apache    2333  0.0  3.6 615404 68004 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND
apache    2334  0.0  1.8 598740 35456 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND
apache    2336  0.0  0.4 592452  7748 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND
apache    2339  0.0  1.1 697256 20804 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND
apache    2340  0.0  0.4 592452  7748 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND
apache    2342  0.0  0.4 592452  8244 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND

Вопрос - как он сможет что-то записать в /etc ? =)

У beerdy nginx, и по его словам «кроме php-myadmin которая тоже с root правами» я понимаю что хост php-myadmin.blabla.ru работает от рута.

А так да, надо смотреть конфиги, иначе єто гадание на кофейной гуще.

У beerdy nginx,

Какая разница, какой веб сервер - apache/lighttpd/blackhttpd/nginx + php-fpm - в любом случае он запущен от пользователя, который не должен ничего писать в системные каталоги.

Еще есть вариант с криво настроенным sudo, трюки з симлинками и куча всего остального.

Должен != есть.

У меня как минимум один клиент в месяц, который все поднимет под рутом, а потом удивляется «А почему у меня IP в спам базах и почта не доходит?».

и по его словам «кроме php-myadmin которая тоже с root правами»

Да, верно - владелец root. Вы же его и ставите

yum install phpmyadmin

Установленные пакеты
Название: phpMyAdmin
Архитектура: noarch
Версия: 4.4.15.1
Выпуск: 1.el7
Объем: 22 M
Источник: installed
Из источника: epel
Аннотация: Handle the administration of MySQL over the World Wide Web
Ссылка: https://www.phpmyadmin.net/
Лицензия: GPLv2+ and MIT and BSD
Описание: phpMyAdmin is a tool written in PHP intended to handle the administration of
        : MySQL over the World Wide Web. Most frequently used operations are supported
        : by the user interface (managing databases, tables, fields, relations, indexes,
        : users, permissions), while you still have the ability to directly execute any
        : SQL statement.
        : 
        : Features include an intuitive web interface, support for most MySQL features
        : (browse and drop databases, tables, views, fields and indexes, create, copy,
        : drop, rename and alter databases, tables, fields and indexes, maintenance
        : server, databases and tables, with proposals on server configuration, execute,
        : edit and bookmark any SQL-statement, even batch-queries, manage MySQL users
        : and privileges, manage stored procedures and triggers), import data from CSV
        : and SQL, export data to various formats: CSV, SQL, XML, PDF, OpenDocument Text
        : and Spreadsheet, Word, Excel, LATEX and others, administering multiple servers,
        : creating PDF graphics of your database layout, creating complex queries using
        : Query-by-example (QBE), searching globally in a database or a subset of it,
        : transforming stored data into any format using a set of predefined functions,
        : like displaying BLOB-data as image or download-link and much more...

Получается даже, что это системный компонент, а не хост, по логике ментейнеров:

/etc/httpd/conf.d/phpMyAdmin.conf

Хотя в битриксе он ставится как хост - но это мелочи.

beerdy

покажи свой

ps -aufx

Еще есть вариант с криво настроенным sudo, трюки з симлинками и куча всего остального.

В его ситуации исключим - там VPS от хостера, не думаю, что все так дыряво.

Вот VPS-ка с php-fpm и nginx

root      9258  0.0  6.9 102368  5148 ?     Ss   Oct28   0:20 php-fpm: master process (/etc/php5/fpm/php-fpm.conf)                    
www-data  9264  0.0  2.7 102368  2064 ?     S    Oct28   0:00  \_ php-fpm: pool www                                                       
www-data  9265  0.0  2.4 102368  1824 ?     S    Oct28   0:00  \_ php-fpm: pool www                                                       
root      9625  0.0  0.6   6492   480 ?     Ss   Oct28   0:00 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
www-data  9626  0.0  2.0   6772  1548 ?     S    Oct28   0:00  \_ nginx: worker process       

Вот именно что vps, ламай/конфигай как хочеш и ето уже головная больне клиента а не хостера.

Я все это к тому - что поломали товарища не из-за его дырявых сайтиков, а из-за чего-то другого. К примеру, слабого пароля или из-за кейлоггера на его компе - наверное там Windows.

Я видел более печальную картину. У одного товарища был putty на windows, c которой он ходил на сервера. И стоял там кейлоггер, как потом выяснилось, - все сервера через некоторое время начали рассылать спам, были поломаны.

Да, ТС. напиши в саппорт - может чем и помогут

Тоже вариант. Где-то видел статью о поломаном тоталкомандере и файлзилле, которые пересылали пароли к ftp.

на машине джента, то есть ТС (либо кто то до него) сам собирал систему. Сомневаюсь что сапорт поможет. Максимум даст консоль или диски для бекапа

Консоль (virtual KVM) сейчас у всех хостеров дается. А так да - проблемы негров шириффа не интересуют

Чаще всего ломают через популярные скрипты. Если учесть, что у ТС'а на серваке крутится WordPress, в котором найден обфусцированный шелл и в истории фигурирует phpMyAdmin, то вывод просится сам собой. Самые популярные методы получения рута: 1) эксплоит; 2) пароль рута совпадает с паролем, который был найден в бд/конфигах/.bash_history/открытом доступе.

Ахаха)))

СИЛЬНО не бейте))))

1. Попробовал запустить скрипт из под nginx в папке с руут правами - ниче не вышло (вопрос еще как его опять же залить))) а вот php sc.php из под рута все ок. Отсюда вывод что это ничего не значит - что скрипт даже если залит в директорию ПХП под рут правами, т.к. процес то рабит под пользователем nginx с стандартными разрешениями заданными по дефолту при установке. Максиум что мы добьемся это поломаем сайты хостинга. 2. Единственный выход это получить шелл под nginx-ом и повысить права до root эксплоитом (которого, кстати, на мое ядро нет). Другой вариант пробиться через порты которые открыты. Но я проверил данное ПО на уязвимости в сети - публичных из которых не оказалось. 3. Все проверки chkrootkit, rkhunter результата тоже недали. Про проверку сайтов не говорю т.к. с ними все понятно - они дырка. Нестандартных конфигов моего ПО нет все из коробки с незначительными изменениями не касающихся изменений привелегий пользователей хозяев их процессов.

4. Виндой не пользуюсь как рабочей машиной. Если пользуюсь то под обычным пользователем. Рабочий ноут тоже на gentoo lenovo z50-70. Хостинг на linode (по мне так он лучший) на XEN уже три года. Но меня все равно напрягал тот факт что иной раз мне приходилось выходит с разных машин, но редко, на свою VPS а еще у меня на android стоит JuceSSH )))

5. Самый интересный пункт. Пошел я в туалет и в процессе исполнения нужды по маленькому, вспомнил, как меня одна девчонка попросила сделать ей хостинг подешевле на год, я сделал. И походу мне самому нужно к врачу и я это серьезно т.к. прошло не так много времени а я б..ть уже забыл что делал.

Я ж тебе и говорю, что nginx работает от www-data и поломать ничего не сможет.

Ситуация такая - ты буратино и забыл что хосты настраивал, а wp у тебя поломали из-за уязвимостей - лучше обнови его. И максимум что сможет поломанный сайт - нагадить у себя и у своих товарищей.

так и запишем, белка истеричка с хреновой памятью

и я про то. А то тут уже 5 подписавшихся - и все думают - «о драма, а вдруг и правда nginx у ТСа все поломал», а оказалось все более прозаичней - пошел посцать, вспомнил о бабе и хостах =)

Эт. Фигня. У меня было дело когда так торопился в отпуск, что сделал

rm -R *

- в ~ директории в которой всегда собирается хлам на продакшене из под рута. Чтото процесс затянулся и я подума что ssh сессия подвисла. Ну что думаю дайка пробел нажму а он НАЖИМАЕТСЯ. Я Контрл-С давлю! делаю

srv#ls
bash: ls: command not found

Ну кто побывал меня поймет - у меня было то чувство которое передать нельзя... Ок. Думаю у меня же бэкапы есть! Еще глубже думаю и понимаю что они у меня бэкапятся на смонтированный

DAV /home/yandexdisk

/var rm -R

rm -R *

Мутная какая-то у тя история. По идее без ключа «f» команда должна быть удостовериться, хочешь ли ты этого. Ты ведь захотел?

И второй момент.

директории в которой всегда собирается хлам на продакшене из под рута

Ты «хлам из под рута» действительно собираешь в корне?

Эпично. А вы спрашиваете зачем в шляпе весь этот геморрой с политиками SELinux.

Так рута получили через девченку? Но как? Ты ж ей сам рута не давал?

Да нет. Он бабы сайты разместил у себя и забыл про них - подумал, что его взломали.

на android стоит JuceSSH
android

:^)

А нее))) у меня на gentoo

Я в курсе. К примеру на mint у меня действительно спрашивает и на centos тоже а вот на gentoo не спрашивает) Даже щас на ноутбуке недавно поставил calculate, тоже не спрашивает (ну эту кальку -всетаки придеться и на десктопе обратно на gentoo)

пошел посцать, вспомнил о бабе

Тактильная память сработала.

На счет "хлама из под рута"

если сделать cd то мы попадаем в коренную директорию root: /root )))) я это имел ввиду и думал что я там и нахожусь. но как оказалось я был не втом месте и не вто время)

Нда

SElinux мне заказан. Из одного сайта теперь ИП в *опе