Zeus+php+Zend Optimizer for Linux安装指南

Originally posted by Crossday at 2004-2-19 12:47 AM:
这个恶心在可以取到别人目录下的文件 尤其是config之类的 这样数据库账号暴露无疑了

long time ago我也做过这事。。嘻。。。得到一个商业用户的帐号和空间。现在还在用呢。

是啊 这个太普遍了 就是现在的虚拟主机估计也有六成有这个问题

Originally posted by Crossday at 2004-2-19 09:45 AM:
是啊 这个太普遍了 就是现在的虚拟主机估计也有六成有这个问题

我做服务器。第一件事就要防止当初自己会用的方法被别人用。。。。哈哈。


使用上面那方法。我曾经在N个免费服务器上得到ROOT，然后开放更多的免费帐户给别人。成为一时的佳话。。。。。。。。。哈俣。

我有一個建議﹐既然從zeus上暫沒有好的方法可以解決掉安全問題﹐可以把這類問題的函數禁用﹐我想可以降低風險吧~~
但好象總不是萬全之策﹐ensim和cpanel上面﹐也有各自的解決方案~~

cpanel只是使用open_base解决。

open_basedir太簡單了﹐光這樣子不行﹐我見過比webadmin.php更厲害的程序﹐直接用system和shell_exec等php函數執行﹐我想懂PHP的就知道我可以做什么事情了吧﹐呵~~

函数禁用是不行的啊 总不能把fopen()禁止了 不过有些都可以禁止掉的 如dl,shell_exec,exec,system等
设置open_basedir = ./应该可以解决这个问题 但一些设计考虑不周到的程序可能会报错 例如fopen("../file", 'r')

十分多的空间商。使用open_basedir的时候。忘记将PHP的共用临时文件夹考虑进去。。只会用/home/user/...或者用./

这样。当PHP程序需要调用临时文件夹资料时出会报错了！！！

我以前见过有人用 php 的shell，竟然跟虚拟终端一样。
如果把目录属性设置成 701 ，也可以抵挡一下。

但是感觉 701，open_basedir ，安全模式都不是很好的解决办法：（

我當時才做空間商時﹐沒有考慮過多的安全性﹐但現在不一樣了﹐我覺得安全第一~~
不過我建議最好還是使用jail或者chroot來做比較好~~