Μας χακάρανε !!!

[datahell]

Σου έβαλε php.ini στο root;;; 

Αν μπορείς να αλλάζεις τις τιμές runtime τότε τις παίρνει κατευθείαν αλλιώς θέλει restart ο apache ( "service httpd restart"  αν είναι ως service). Η php δεν γίνεται restart, είναι γλώσσα προγραμματισμού όχι service/deamon

Θέλει αυτάκια αν το βάζεις στο php.ini Κανονικά αυτά πρέπει να τα κάνει ο host σου όχι εσύ. Αυτοί είναι υπεύθυνοι να σου παρέχουν ένα ασφαλές και λειτουργικό περιβάλλον για το site σου. Δεν παίζουν με αυτά τα πράγματα. Τι να πω...

[ArXoS]

Ε ναι, η apache ήθελα να πω θέλει restart .. κάτι τέτοιο θυμόμουν όταν δοκίμασα σε τοπική εγκατάσταση.
Και εμένα μου έκανε εντύπωση που το βάλαν στο root. Είναι λες και καλά κίνηση «πάρτο να παίζεις και παράτα μας;»/ Και που το έβαλαν, με χίλια παρακάλια και προειδοποιήσεις ότι θα την κάνω, τα λεφτά μου πίσω κτλ κτλ ..  Άσε που κόβουν το κεφάλι τους ότι ο μόνος τρόπος να με χακάρουν είναι τα mods των αρχείων-φακέλων. Τα register globals, safe modes και όλα τα υπόλοιπα τα θεωρούν λεπτομέρειες. Και να πεις ότι είναι από τις μικρές εταιρίες, να πω ..

Στο θέμα μας. Διαβάζοντας στο php.ini, οι εντολές του disable_functions, είδα να γράφει από πάνω το εξής :

Code: [Select]

This directive allows you to disable certain functions for security reasons.
 It receives a comma-delimited list of function names. This directive is
*NOT* affected by whether Safe Mode is turned On or Off.
Πρέπει να είναι On το safe mode για να δουλέψουν τα disable_functions ?
Και κάτι άλλο. Τι είναι προτημότερο; Να έχεις τις εντολές σου από το php.ini ή από το .htaccess ?
Ευχαριστώ παίδες ..

[datahell]

Το php.ini είναι το αρχείο ρυθμίσεων της php, συνεπώς εκεί πρέπει να είναι όλες οι ρυθμίσεις όπως πρέπει να είναι. Τώρα υπάρχει μία παράμετρος στον apache που λέγεται allow_overwrite αν αυτή έχει οριστεί πχ σε ALL μπορείς να υπερκαλύψεις κάποιες από τις ρυθμίσεις και να βάλεις δικές σου (σε ένα virtual directory του apache ή μέσω του htaccess ή μέσω της function ini_set() ). Σε virtual host περιβάλλον το να αλλάζεις runtime τις ρυθμίσεις της php επηρεάζει και τα άλλα site! Το σωστό και ασφαλές είναι οι ρυθμίσεις της php να ΜΗΝ υπερκαλύπτονται από κανέναν. Κάποιες γενικές και βασικές ρυθμίσεις ασφαλείας πρέπει να είναι ίδιες και παντού για όλα τα site. Η function exec() για παράδειγμα σου επιτρέπει μέχρι και καφέ να ψήσεις μέσω της php (κυριολεκτώ - με την exec τρέχω DOS προγράμματα στο pc μου). Είναι εντελώς επικίνδυνη (και άχρηστη) για το 99,9% των site. Το register_globals μεταφράζεται σε "ελάτε να παίξετε με τις μεταβλητές μας" και το allow_url_fopen σε "φορτώστε ότι θέλετε". Από την άλλη το safe_mode είναι μία μαλ.... που κλειδώνει τα πάντα και δεν μπορείς να κάνεις τίποτα. Το safe_mode θα καταργηθεί στις επόμενες εκδόσεις της php. Ακολουθήστε τις γενικές οδηγίες ασφαλείας όπως προτείνονται από την εγκατάσταση του Elxis. Διαβάστε στο internet (υπάρχουν πάμπολλα άρθρα) για ακόμα καλύτερες ρυθμίσεις και αύξηση της ασφάλειας.

[artman]

Η αλλαγή των προκαθορισμένων ρυθμίσεων της php μπορεί να γίνει είτε με κατάλληλη εντολή στο php script ( πχ με την συνάρτηση ini_set() ), είτε μέσω ενός αρχείου .htaccess, είτε με επεξεργασία του php.ini, είτε τέλος με επεξεργασία του httpd.conf του apache. ΟΜΩΣ, ένας σωστός διαχειριστής server δεν επιτρέπει στους χρήστες να βάζουν ότι τιμές να 'ναι στις ρυθμίσεις της php για το καλό όλων. Πχ αν έχει βάλει REGISTER_GLOBALS σε OFF στο php.ini δεν σου επιτρέπει να το γυρίσεις στο ON. Αυτό ποικίλει από server σε server. Ακόμα αυτά τα δικαιώματα (υπερκάλυψης βασικών ρυθμίσεων) μπορούν να οριστούν και κατά περίπτωση/site σε ένα περιβάλλον virual host. Η παράμετρος που καθορίζει αυτό είναι η AllowOverwrite του apache. Θα πρέπει φυσικά να έχεις πρόσβαση στο httpd.conf του apache.

Στην περίπτωσή σου: Αν σε αφήνει μέσω .htaccess να αλλάξεις αυτές τις παραμέτρους μπορείς να βάλεις στο αρχείο .htaccess γραμμές όπως αυτή:

php_flag register_globals off

ή αυτή:

php_value allow_url_fopen 0 (υπάρχει περίπτωση αυτό να σου δημιουργήσει error 500)

Επειδή δεν είσαι έμπειρος χρήστης και δεν είναι και αρμοδιότητά σου να ρυθμίζεις το server (πληρώνεις ανθρώπους για αυτή τη δουλειά άλλωστε) καλύτερα είναι, αφού βεβαιωθείς πως οι τιμές των παραμέτρων είναι όπως τις ανέφερες, να απευθυνθείς στην εταιρεία που σε φιλοξενεί για να κάνει τις απαραίτητες αλλαγές ασφαλείας.

Στο site το μόνο που χρειάζεται να κάνεις είναι:  να το κρατάς ενήμερο και να μην εγκαθιστάς οτιδήποτε δεν προέρχεται από το elxis.org. Οποιοδήποτε module/component κλπ δεν είναι για το Elxis, ξήλωσέ το. Αν τέλος έχεις και άλλα script πάνω στο site σου εκτός του elxis βεβαιώσου ότι είναι ασφαλή και ότι δεν "μπήκανε" από εκεί.

Έχω Shared Hosting και δυστυχώς και με τις 2 επιλογές μου βγάζει error 500. Σε κατάσταση ON είναι το register globals από τα ανησυχητικά απ' ότι κατάλαβα.

Θέλω να ρωτήσω, αν απευθυνθώ στην εταιρία να μου το κάνει OFF, επηρεάζει αρνητικά τα υπόλοιπα sites που έχω επάνω (κάποιο με oscommerce και κάποια με html)?

Ευχαριστώ

[datahell]

Για το Elxis δεν έχεις πρόβλημα με το register_globals μιας και το elxis δεν το λαμβάνει υπόψιν του, παίζει και με off (συνιστάται off). Επίσης οτιδήποτε software διανέμεται μέσω του Elxis.org και έχει περάσει τον έλεγχο μας είναι ασφαλές και δεν χρειάζεται register_globals. Άρα είναι ασφαλές από αυτό. Προσέχετε πάρα πολύ όμως αν εγκαθιστάτε πράγματα που δεν είναι φτιαγμένα για το Elxis γιατί πολλοί τρίτοι κατασκευαστές δεν τηρούν στοιχειώδη μέτρα ασφάλειας στον κώδικά τους.Το oscommerce θυμάμαι από παλιά ότι θέλει register globals σε on αλλιώς ΔΕΝ παίζει. Το oscommerce ήταν ανασφαλές εφαρμογή και γι αυτό δεν το έχω χρησιμοποιήσει ποτέ σε Online site. Δεν ξέρω αν στις νέες εκδόσεις τα έχουν φτιάξει αυτά. Μην εγκαθιστάτε software που για να δουλέψει σωστά θέλει register_globals σε on.

Εξαρτάται από που θα αλλάξεις τις παραμέτρους για το αν θα επηρεαστούν άλλα site. Αν πχ τις αλλάξεις στο php.ini επηρεάζει όλο το server. Στο htaccess επηρεάζει μόνο το site σου (ολόκληρο ή μέρος του). Στο httpd.conf επηρεάζει ολόκληρο το server ή συγκεκρημένο/α site.

To σφάλμα 500 σημαίνει πως αυτό που πας να κάνεις δεν στο επιτρέπουν οι ρυθμίσεις του php.ini/httpd.conf. (Allow Overwrite : off)

Τα html site είναι html..., δεν επηρεάζονται από ρυθμίσεις της php.

[artman]

Δηλαδή το μόνο που έχω να κάνω είναι να ζητήσω από την εταιρία να μου δώσουν access για να μπορώ να πειράζω το htaccess έτσι ώστε να μην επηρεάζεται άλλο site, σωστά?

[ArXoS]

.... το AllowOverwrite του apache, αν αυτό είναι σε OFF δεν σε αφήνει να αλλάξεις τις τιμές μέσω κάποιου αρχείου htaccess και παράγει σφάλμα 500 (Internal server error).

Ο αγώνας μου με τους τεχνικούς τους σερβερ συνεχίζεται . Αφού εδώ και 1 μήνα ψάχνουν πώς να αλλάξουν το ulr_fopen και όλα τα disable_funtions και δε μπορούν, τους πρότεινα σύμφωνα με το παραπάνω που γράφεις να αλλάξουν τα settings του apache για να με αφήσουν να φτιάχνω το .htacess μόνος μου

Διάβασα στο http://httpd.apache.org/docs/2.0/mod/core.html#allowoverride τα περί allowOverride. Τι εντολές πρέπει να βάλουν στο apache ? All? Να σας θυμίσω, ότι στο .htaccess με εντολή για rergster globals και display errors οι εντολές μου έγιναν δεκτές, ενώ για τα disable_funtions και fopen βγάζει error 500

Βοηθήστε ρε παιδιά, τρώω συνεχόμενες επιθέσεις (μέχρι και php emailer μου βάλανε χακερς και με έχουνε μαυρίσει σαν spamer!), και έχω μπλέξει με σερβερ που δεν πρέπει να το κατέχει το άθλημα .. Βάλαμε τις εντολές στο php.ini, και μετά από 200 restart της apache πάλι έχω τις ίδιες «τρύπες»

Ελπίζω μόνο πλέον στο allowOverride, ή σε κανέναν άλλον τρόπο που μπορεί να δουλέψει ..

[nikos65]

Νομίζω ότι θα πρέπει να δουλέψεις μόνο το php.ini εφόσον ο server σου χρησιμοποιεί phpsuexec.
Για να το καταλάβεις αυτό κοίτα μέσα στην διαχείριση του elxis στο σύστημα>πληροφορίες php εάν στην 4 γραμμή εκεί που  γράφει server api εάν είναι η τιμή CGI τότε χρησιμοποιείς phpsuexec.

Μία βασική ρύθμιση τότε είναι ότι όλοι οι κατάλογοι που πρέπει να είναι εγγράψιμοι να είναι  σε 755 και οχι σε 777 γιατί σε συνδυασμό με την .htaccess και με τις εντολές που πέρασες λογικά σου βγάζει το λάθος 500.

Σε αυτή την περίπτωση θα πρέπει να βρεις το php.ini και να αλλάξεις τις ρυθμίσεις  στα register globals,display errors ,allow_urls φυσικά και τις ρυθμίσεις που προτείνει το elxis κατά την αρχή της εγκατάστασης.

Μετά ρίξε το Php.ini στο public_html και στον κατάλογο του administration κάνε έλεγχο ασφάλειας και δεν θα υπάρχει καμία προειδοποίηση.

Κοίτα το και ενημέρωσε μας ..

[ArXoS]

Συστημα/Πληροφορίες PHP έχει :   Server API    Apache
Είναι αυτό που λες ?


το Php.ini στο public_html και στον κατάλογο του administration στεκει αυτο που λες? δαβαζεται το php.ini απο εκει μέσα?

[nikos65]

Ναι στέκει και δουλεύει τέλεια αλλά δεν ισχύει για σένα γιατί δεν έχεις phpsuexec οπότε θα πρέπει να δουλέψεις με τις εντολές  στο .htaccess.
Δυστυχώς οι γνώσεις μου έχουν να κάνουν μόνο με αυτό που ασχολήθηκα γιατί έχω php>5 και φυσικά phpsuexec και έπρεπε να προστατέψω τα site μου σύμφωνα με τα δεδομένα του hosting που έχω.
Ψάξε στο forum ή κάνε αναζήτηση στο google και θα βρεις λύσεις γιατί πολλές κοινότητες αντιμετωπίζουν το ίδιο πρόβλημα επίσης ο datahell   έχει δημοσιεύσει σημαντικά πράγματα.

[artman]

για αυτά που γράφει ο nikos65 έχει δίκιο, κι εγώ όλες τις ρυθμίσσεις τις έκανα μόνος μου, σύμφωνα με τις οδηγίες του datahell (έχει λιώσει το παληκάρι να απαντάει σε τέτοια θέματα!), πάντως αν βλέπεις πως δεν βγάζεις άκρη μαζί τους (server) γιατί δεν πας αλλού ??

είναι σημαντικό το κομμάτι της ασφάλειας.

ευτυχώς εγώ εδώ που είμαι (server) έχω πολύ καλό support και τα παιδιά απαντάνε σε όλες τις ερωτήσεις μου, αφού πρώτα ψάξω στο forum τι χρειάζομαι ή τι μου λείπει, μιας και είμαι άσχετος με τα πάντα εδω μέσα και όλα είναι πρωτόγνωρα για εμένα (κοινώς κινέζικα!).

[ArXoS]

Γεια σας ρε παιδια

Η συνέχεια της ιστορίας !!!
Τελικά ο server μου χρησιμοποίησε Server API CGI
Έχουμε λοιπόν τις εξής αλλαξές :

1.Όλα τα αρχεία και οι φακέλοι έγιναν εγγράψημα (με 755 και 644)
Ερώτηση : Πως θα τα κάνω μη εγγράψημα ?

2.Επίσης, όταν πάω να βάλω το php.ini στο public_html, έχοντας φτιάζει ένα αρχείο δοκιμαστικά με την εντολή

Code: [Select]

<?php
phpinfo();
?>
βλέπω οτι τελικά οι παράμετροι άλλαξαν 
Στο updiags όμως, δεν φαίνονται αλλαγμένοι, παρα μόνο αν βάλω το php.ini Και στο adminisrator

Αυτό λοιπόν που θέλω να ρωτήσω, είναι το εξής :
Πρέπει να βάλω σε όλους τους φακέλους το php.ini για να ισχύουν οι ρυθμίσεις αυτές σε όλα τα paths? Το λέω αυτό γιατί έχω αρκετά components και moduls πέραν της εγκατάστασης του elxis, και φυσικά chat και forum .. Tί γίνεται λοιπόν με αυτα τα paths ??

Ευχριστώωωω

[nikos65]

Πλέον η προστασία σου πρέπει να γίνεται απο το php.ini .
Εχω διαβάσει ότι καλό είναι να εάν μπορείς να το βάλεις σε κάθε <dir> δεν μπορώ να το επιβεβαιώσω όμως.
Ξεκίνα τουλάχιστον με το root και τον φάκελο <admin...>  σχετικά με τα 755 νομίζω ότι δεν πρέπει να ανησυχείς εάν το Php.ini είναι οκ.

Αυτά ξέρω παρακαλώ διορθώστε με εάν κάτι δεν ισχύει..

[artman]

Αντιμετώπισα ανάλογο πρόβλημα. Εμένα μου είπαν πως πρέπει να μπει σε όλους τους φακέλους κανονικά. Οπότε το κάνεις όπως ακριβώς το θες και το βάζεις παντού.

Ναι, μην ξεχάσεις κάτι γιατί πρέπει να το ξαναπεράσεις παντού. 

[ArXoS]

Οκ., το έβαλα παντού

Κάτι που παρατήρησα ..

Από τότε που έγινε  η αναβάθμιση σε phpsuexec, βλέπω οτι τα αποθηκευμένα στην cash είναι
phpThumb_cache_www.XXXXXXXX.gr
ενώ πριν ήταν
phpThumb_cache_ΧΧΧΧΧΧΧΧ.gr

Πρέπει να αλλάξω κάτι στο elxis 'η δεν έχει σχέση?


Το δεύτερο που δεν βλέπω να δουλεύει, είναι το SMPT μαιλ ... όλα τα μαιλς που στελνει το ελχις, μου επιστρεύονται πίσω (δεν φτάνουν στον προοτισμό τους γιατί απορύπτονται ως spams)
Να το γυρίσω σε PHP mail