LINUX.ORG.RU
ФорумAdmin

Защита от remview в Apache


0

0

Кто нибудь помогите защититса от этой бяки. remview - это удаленный просмотр файловой системы. Запускаешь этот php скрипт и ходиш по всей системе без проблем. Как правильно настроить Apache что бы он не пускал remview дальше каталога где она лежит?

anonymous

chroot только тогда на весь апач надо ставить (это я уточняю на всякий случай). Но опять же, chroot не спасет от просмотра конфигов апача, файлов .htaccess и т.п. А как чрутить ПХП скрипты я даже не знаю. Только руками патчить... Да, safe mode покопай. Еще можно прибить функции типа readdir (disable functions в конфиге) и иже с ними.

Nefer
()
20 января 2004 г.
Ответ на: комментарий от Nefer

[root@mail] /usr/local/apache2/conf/virtual # cat mail.xxx.ru.conf <VirtualHost 2xx.xx.xx.xx> CustomLog /www/mail.xx.ru/logs/access_log common ErrorLog /www/mail.xx.ru/logs/error_log <Directory /www/mail.xx.ru/> DirectoryIndex index.php index.html index.htm index.shtml Options +Includes #--------------------------------------------------------php-security-section--- -- php_admin_flag engine on php_admin_flag expose_php off # php_admin_flag safe_mode on php_admin_flag track_vars on php_admin_flag allow_url_fopen off php_admin_flag magic_quotes_runtime on php_admin_value doc_root /www/mail.xx.ru php_admin_value open_basedir /www/mail.xx.ru/www php_admin_value safe_mode_protected_env_vars LD_LIBRARY_PATH php_admin_value safe_mode_allowed_env_vars PHP_ php_admin_value upload_max_filesize 2048000 php_admin_value max_execution_time 10 php_admin_value post_max_size 1M php_admin_value memory_limit 8M php_admin_flag mysql.allow_persistent off php_admin_value mysql.max_links 5 php_admin_flag pgsql.allow_persistent off php_admin_value pgsql.max_links 5 #--------------------------------------------------------php-security-section--- -- AddType application/x-httpd-php .php <Files *.php> SetOutputFilter PHP SetInputFilter PHP </Files> AddType text/html .shtml <FilesMatch "\.shtml[.$]"> SetOutputFilter INCLUDES </FilesMatch> </Directory> ServerName mail.xx.ru ServerAdmin postmaster@mail.xx.ru DocumentRoot "/www/mail.xx.ru/www" ScriptAlias /cgi-bin/ "/www/mail.xx.ru/cgi-bin/" </VirtualHost>

Вот так примерно. Щас ищу как забить Eval SHell Если кто знает-стукните пожалуйста в асю :732880 Спасибо

anonymous
()
Ответ на: комментарий от Nefer

НАШЕЛ! в /usr/local/lib/php.ini disable_functions exec,system,passthru,phpinfo,shell_exec,popen

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.