VBsupport перешел с домена .ORG на родной .RU
Ура!
Пожалуйста, обновите свои закладки - VBsupport.ru
Блок РКН снят, форум доступен на всей территории России, включая новые терртории, без VPN
На форуме введена премодерация ВСЕХ новых пользователей
Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
Если вы хотите приобрести какой то скрипт/продукт/хак из каталогов перечисленных ниже: Каталог модулей/хаков
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота. Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
Подскажите как лучше предотвратить доступ к базе данных. У меня на сервере стоит операционка linux, через файлы конфигурации форума юзер нашел пароль и влез в базу данных (как я не знаю, не опытный), боюсь что может это закончиться обвалом...
НА файл config.php стоят права 644
Поясни как это сделать, я не совсем понимаю что именно и как проверить
@netwind
Гуру
Join Date: Aug 2005
Location: Рiдна Олбанея
Posts: 3,844
Версия vB: 3.8.x
Reputation:
Гуру 1227
Репутация в разделе: 901
0
кто в твоем понимании юзер?
он имеет доступ на твой сервер, как пользователь хостинга?
другими способами он мог залить php-файл на сервер?
@Паренек
Простоузер
Join Date: Oct 2005
Location: Новосибирск
Posts: 55
Версия vB: 3.6.x
Reputation:
Novice 2
Репутация в разделе: 0
0
Нет доступ к серверу не имеет, один человек говорил что можно у меня вскрыть файл config.php и достать пароль а как в базу данных уже влез я не знаю.
kerk
k0t
Join Date: May 2005
Location: localhost
Posts: 28,844
Версия vB: 3.8.x
Пол:
Reputation:
Гуру 20333
Репутация в разделе: 8468
1
Quote:
Originally Posted by Паренек
один человек говорил что можно у меня вскрыть файл config.php
конкретно у тебя можно вскрыть или где угодно?
если ты говоришь, что права на файл стоят 644 (а это предполагает, что ОС - какой нибудь линух или фря) то это практически невозможно
если бы это было так, как говорит "один человек" - все форумы бы вскрывались, как орехи каждый день
=======
скорей всего, кто то залил шелл к тебе на фтп и удаленно может ковыряться у тебя в файлах, вплоть до их удаления
ищи подозрительные файлы на фтп... по именам файлов, отличных от вобловских
@netwind
Гуру
Join Date: Aug 2005
Location: Рiдна Олбанея
Posts: 3,844
Версия vB: 3.8.x
Reputation:
Гуру 1227
Репутация в разделе: 901
1
Quote:
конкретно у тебя можно вскрыть или где угодно?
если ты говоришь, что права на файл стоят 644 (а это предполагает, что ОС - какой нибудь линух или фря) то это практически невозможно
если бы это было так, как говорит "один человек" - все форумы бы вскрывались, как орехи каждый день
не, 644 предполагает доступ на чтение ВСЕМ (r--) то есть шел на сервере или php-скрипт файлового менеджера, положенный куда надо, позволит прочесть пароль.
еще посмотри на предмет бекапов файлов например config.php.old .
еще бывает так что забывают удалить старые бекапы базы сделаные из админки,
там можно отгадать имя файла и перебирая имя файла как даты,
просто слить .sql файл с бекапом...
ну xss и всякие там уязвимости в форумах и хаках бывают, так что
посмотри по логам не заходили ли в админку со странных IP.
в unix-mysql можно вообще выключить сетевые подключения по tcpip, --disable-networking по-моему..никто точно не подлезет, даже зная пароль на базу.
в общем много чего может быть..
добавлено через 5 минут
интересно, встречается ли у тебя "config.php" в логах апача за неделю-другую?
вдруг бага в левом скрипте. часто можно отловить хакерскую активность анализируя логи
Last edited by netwind : 04-17-2006 at 10:46 PM.
Reason: Добавлено сообщение
Открытый доступ к базе данных
