Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

Zeus+php+Zend Optimizer for Linux安装指南

[复制链接]
BENDY 发表于 2004-2-19 03:18:40 | 显示全部楼层
Originally posted by Crossday at 2004-2-19 12:47 AM:
这个恶心在可以取到别人目录下的文件 尤其是config之类的 这样数据库账号暴露无疑了

long time ago我也做过这事。。嘻。。。得到一个商业用户的帐号和空间。现在还在用呢。
回复

使用道具 举报

 楼主| Crossday 发表于 2004-2-19 09:45:42 | 显示全部楼层
是啊 这个太普遍了 就是现在的虚拟主机估计也有六成有这个问题
回复

使用道具 举报

BENDY 发表于 2004-2-19 11:29:03 | 显示全部楼层
Originally posted by Crossday at 2004-2-19 09:45 AM:
是啊 这个太普遍了 就是现在的虚拟主机估计也有六成有这个问题

我做服务器。第一件事就要防止当初自己会用的方法被别人用。。。。哈哈。


使用上面那方法。我曾经在N个免费服务器上得到ROOT,然后开放更多的免费帐户给别人。成为一时的佳话。。。。。。。。。哈俣。
回复

使用道具 举报

cqfanli 发表于 2004-2-19 13:47:15 | 显示全部楼层
我有一個建議﹐既然從zeus上暫沒有好的方法可以解決掉安全問題﹐可以把這類問題的函數禁用﹐我想可以降低風險吧~~
但好象總不是萬全之策﹐ensim和cpanel上面﹐也有各自的解決方案~~
回复

使用道具 举报

BENDY 发表于 2004-2-19 15:18:37 | 显示全部楼层
cpanel只是使用open_base解决。
回复

使用道具 举报

cqfanli 发表于 2004-2-19 17:49:05 | 显示全部楼层
open_basedir太簡單了﹐光這樣子不行﹐我見過比webadmin.php更厲害的程序﹐直接用system和shell_exec等php函數執行﹐我想懂PHP的就知道我可以做什么事情了吧﹐呵~~
回复

使用道具 举报

 楼主| Crossday 发表于 2004-2-21 11:03:53 | 显示全部楼层
函数禁用是不行的啊 总不能把fopen()禁止了 不过有些都可以禁止掉的 如dl,shell_exec,exec,system等
设置open_basedir = ./应该可以解决这个问题 但一些设计考虑不周到的程序可能会报错 例如fopen("../file", 'r')
回复

使用道具 举报

BENDY 发表于 2004-2-21 11:28:27 | 显示全部楼层
十分多的空间商。使用open_basedir的时候。忘记将PHP的共用临时文件夹考虑进去。。只会用/home/user/...或者用./

这样。当PHP程序需要调用临时文件夹资料时出会报错了!!!
回复

使用道具 举报

UP.Linux 发表于 2004-2-21 11:38:57 | 显示全部楼层
我以前见过有人用 php 的shell,竟然跟虚拟终端一样。
如果把目录属性设置成 701 ,也可以抵挡一下。

但是感觉 701,open_basedir ,安全模式都不是很好的解决办法:(
回复

使用道具 举报

cqfanli 发表于 2004-2-21 15:54:04 | 显示全部楼层
我當時才做空間商時﹐沒有考慮過多的安全性﹐但現在不一樣了﹐我覺得安全第一~~
不過我建議最好還是使用jail或者chroot來做比較好~~
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-12-25 01:09 , Processed in 0.024312 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表