Комментарии 105
это не самое страшное
Попробуйте пройтись и проверить наличие файлов svn–commit.tmp
Из которых можно собрать гораздо больше ценной информации
Попробуйте пройтись и проверить наличие файлов svn–commit.tmp
Из которых можно собрать гораздо больше ценной информации
+5
Подумал, полез на свой сервачок, нашел один такой файл:)
Правда назывался от не phpinfo.php.
Посмотрел, что в этом списке, не нашёл ничего криминального и любопытного, но удалил.
Правда назывался от не phpinfo.php.
Посмотрел, что в этом списке, не нашёл ничего криминального и любопытного, но удалил.
0
НЛО прилетело и опубликовало эту надпись здесь
> Server API FPM/FastCGI
они тоже отказались от апача…
они тоже отказались от апача…
0
Кстати, а что с фтп? Я как-то в современных проблемах безопасности не шибко продвинут.
0
Он ОЧЕНЬ старый и совершенно не секьюрный — снифается на ура. Посмотрите в сторону SFTP хотя бы.
0
Не все хостинги еще поддерживают SFTP/SCP, поэтому VDS — наше все
0
да побоку что снифается. особенно на промежуточных роутерах.
ибо это угроза слишком маловероятна и «теоретическая» в реальности.
пароли уводят троянами, что воруют сохраненные пароли и перехватывают вводимые при конекте.
впрочем такие трояны перехватывают не только фтп.
PS: да, я знаю о чем говорю.
ибо это угроза слишком маловероятна и «теоретическая» в реальности.
пароли уводят троянами, что воруют сохраненные пароли и перехватывают вводимые при конекте.
впрочем такие трояны перехватывают не только фтп.
PS: да, я знаю о чем говорю.
+5
занимаетесь? ;)
0
Да, я знаю о чем вы говорите :)
И знаю, что вы правы. И всё же считаю нужным по возможности использовать SFTP/SCP. Ибо иногда хочется иметь возможность быстро залезть на сервер через открытый вай-фай. Пусть шанс, что конкретный спот снифается — малы, но «цена ошибки» тут слишком высока.
И знаю, что вы правы. И всё же считаю нужным по возможности использовать SFTP/SCP. Ибо иногда хочется иметь возможность быстро залезть на сервер через открытый вай-фай. Пусть шанс, что конкретный спот снифается — малы, но «цена ошибки» тут слишком высока.
0
HTTP видимо верх секъюрности :).
0
есть много вариаций названия файла и он может находится не в корневой папке.
Да и яйца присутствуют: habrahabr.ru/blogs/php/88966/
Да и яйца присутствуют: habrahabr.ru/blogs/php/88966/
+1
Заголовок ещё желтее придумать не получилось?
+22
А PHP 5.3 всего около 3%, казалось, уже больше будет.
+1
Интереснее другое — доля php4 всё ещё 24-25%. Рано хостингам и разработчикам отказываться от поддержки php4.
+1
Вот именно потому что не отказываются хостинги и сайты не переезжают. Многие сами не обновляют надеются на админов хостинга, а они даже на платных не всегда достаточно ответственно подходят к этому вопросу.
+3
Многие сайты не обновлялись последние несколько лет. Им просто незачем менять версии php.
+2
Во многих старых версиях php есть уязвимости (иногда критические, иногда не очень). Поэтому разумно обновляться до свежих версий в своей линейке (4.4 или 5.2).
0
Да все просто. Лет пять назад Вася Пупкин написал компании сайт на php 4.3. Он работает и даже иногда туда заносят новости. Вопрос кто и зачем должен мониторить актуальность версий php?
— Хостер — а вдруг что-то отвалится. Нафиг связываться не хочет.
— Вася Пупкин — получил денег и забыл давно.
— Девочка маркетолог из компании — не представляет что такое php.
— Кулхацкер, который узнал что там устаревшая версия… Ему нафиг этот сайт-визитка нужен
Не все же гики… Кстати, последняя typo3 вроде совместима с php 4.x
— Хостер — а вдруг что-то отвалится. Нафиг связываться не хочет.
— Вася Пупкин — получил денег и забыл давно.
— Девочка маркетолог из компании — не представляет что такое php.
— Кулхацкер, который узнал что там устаревшая версия… Ему нафиг этот сайт-визитка нужен
Не все же гики… Кстати, последняя typo3 вроде совместима с php 4.x
+10
есть сервер где ещё стоит freebsd 4 и 5 версии. И это стоит у вполне приличных хостеров… которые пишету о защищённости своей системе и т.д.
0
ох уж этот test.php, надо делать постоянный ip дома себе, и проверять на сервере
0
PHP 5.1.6 — 5.8%
CentOS 5. :)
CentOS 5. :)
+4
НЛО прилетело и опубликовало эту надпись здесь
Я сделал проверку только на phpinfo.php. На test.php и temp.php не проверял из морально-этических соображений — эти скрипты могут содержать потенциально опасный (для сайта) код.
+3
Ещё любят называть php.php
0
Еще нужно добавить info.php
+1
Ну, по крайней мере на info.php, _phpinfo.php, _info.php, phpinfo_.php, info_.php точно можно было бы проверить.
0
delete-production.php :)
0
killall-9.php
+1
Рестарт сервера — менее страшен чем такой "антидеплой".
+1
А я всегда создаю файл _phpinfo.php ;)
0
ещё install.php поищите!
0
какой резон создавать файл phpinfo — разок создал, посмотрел конфиги пхп, подключенные модули, затем удалили и никогда он не понадобится
0
phpphp.php или php.php
а также, asd.php, asdf.php, 123.php, test1.php
я обычно так делаю )
а также, asd.php, asdf.php, 123.php, test1.php
я обычно так делаю )
0
А info.php?
+2
За такое сканирование провайдер не прикроет абонента?
-2
А что здесь противозаконного?
+1
Я не знаю, поэтому и спрашиваю. Просто помню, что 10 лет назад провайдер отключал за сканирование расшареных ресурсов в сети, это ещё когда карты доступа для модемов были.
0
Это не то сканирование — просто запрос файла и анализ ответа сервера.
+1
Если я запрошу этот файл у 100.000 сайтов — то всё ок, но если я запрошу 100.000 файлов на одном сайте — то всё плохо?
0
Да запрашивайте на здоровье. Только про паузу не забудьте между запросами.
Именно этим и занимаются все поисковые машины.
Именно этим и занимаются все поисковые машины.
+1
Какую обычно паузу ставят? Мне всегда было интересно провести подобное исследование.
У поисковых машин свои выделенные сервера, а если я буду это делать со своей машины — могут возникнуть вопросы. Потом доказывай, что я соц. исследование проводил.
У поисковых машин свои выделенные сервера, а если я буду это делать со своей машины — могут возникнуть вопросы. Потом доказывай, что я соц. исследование проводил.
0
Если за сайтом следит адекватный сисадмин, то выкачать много страниц с одного IP вы не сможете, независимо от паузы.
Не рекомендую делать больше 1 запроса в 5 секунд, иначе положите сайт ДоСом :)
З.Ы. Воровать контент — плохо.
Не рекомендую делать больше 1 запроса в 5 секунд, иначе положите сайт ДоСом :)
З.Ы. Воровать контент — плохо.
0
вы просканировали 200 тыс. сайтов со своего домашнего компа? неужели провайдер смотрит на такие действия совершенно спокойно?
-2
teleport pro внезапно появляется на сцене.
0
Кстати, не буду убирать файлы. Ничего сверхсекретного там нету.
На куче моих серваков они есть и ничего :-)
Если это shared хостинг, так там phpinfo вообще чаще всего публичная информация.
На куче моих серваков они есть и ничего :-)
Если это shared хостинг, так там phpinfo вообще чаще всего публичная информация.
+5
Тут статья проскакивала, были доступны .svn файлы, и авторы топика получили исходники множества крупных сайтов. Вот это реально круто, да.
0
Просканируйте еще на домен.ру/phpmyadmin/setup/
+1
Я один токо создаю такой файл с именем @.php?
0
Делал раньше так php.info.php
0
я вот ща одному сайту БД конвертирую, так на их старом сайте в каждом каталоге лежит php.ini :)
а каталогов у них ойойой :)
а каталогов у них ойойой :)
0
i.php
+2
Да ладно, нашли тоже уязвимость.
Вот некоторые веб-мастера предоставляют пользователям всякие свистящие WYSIWYG редакторы c кучей плагинов и запрещают закачку исполняемых файлов. При этом, как правило, запрещено расширение *.php, и, как правило, без проблем грузится .php5.
Я удивился, но оказывается многие даже не подозревают, что файл может иметь расширение phpn, где n — версия php, и успешно выполняться на сервере.
Что можно сделать если загрузить свой php на сервер говорить думаю не стоит.
Вот некоторые веб-мастера предоставляют пользователям всякие свистящие WYSIWYG редакторы c кучей плагинов и запрещают закачку исполняемых файлов. При этом, как правило, запрещено расширение *.php, и, как правило, без проблем грузится .php5.
Я удивился, но оказывается многие даже не подозревают, что файл может иметь расширение phpn, где n — версия php, и успешно выполняться на сервере.
Что можно сделать если загрузить свой php на сервер говорить думаю не стоит.
+1
открою страшну тайну…
не только .php5, а еще например .shtml и тд
не только .php5, а еще например .shtml и тд
0
я вот ни .php ни .php5 не запрещаю.
потому что надо скрипт сайта ложить выше корневой папке, а папку с аплоадсами отдавать без возможности выполнения
потому что надо скрипт сайта ложить выше корневой папке, а папку с аплоадсами отдавать без возможности выполнения
0
if(!empty($_REQUEST['key'])&&'xx7D91eIf3zJ8gnZ2anvGLvx'==$_REQUEST['key']){phpinfo();}
+2
Храню phpinfo.php на сервере, а так-же test.php но в нём только одна строчка exit, сам не помню что там было и почему он остался…
Боюсь ли взлома?
Нет, дыр очевидных в моих скриптах нет (там слишком мало скриптов и они слишком простые чтоб можно было допустить в них дырки) а через дыры ОС (если таковые есть) взломать можно не зависимо от информации из phpinfo()
Боюсь ли взлома?
Нет, дыр очевидных в моих скриптах нет (там слишком мало скриптов и они слишком простые чтоб можно было допустить в них дырки) а через дыры ОС (если таковые есть) взломать можно не зависимо от информации из phpinfo()
0
Любопытная статистика.
Однажды я решил поискать сколько symfony проектов лежит на продакшен серверах с открытым web-дебагом. Статистика, знаете-ли была не менее любопытной. (хинт: g inurl:frontend_dev.php -source -browser)
Однажды я решил поискать сколько symfony проектов лежит на продакшен серверах с открытым web-дебагом. Статистика, знаете-ли была не менее любопытной. (хинт: g inurl:frontend_dev.php -source -browser)
+1
Немного обобщенной статистики.
В Рунете из 1,725 сайтов register_globals включен на 941 (~54,5%), safe_mode на 106 (~6,1%)
В Буржунете из 3,923 сайтов register_globals включен на 1457 (~37,1%), safe_mode на 195 (~5%)
В Рунете из 1,725 сайтов register_globals включен на 941 (~54,5%), safe_mode на 106 (~6,1%)
В Буржунете из 3,923 сайтов register_globals включен на 1457 (~37,1%), safe_mode на 195 (~5%)
+3
Каждый день наблюдаю, как кто-то перебирает папки на сервере admin, phpmyadmin и т.д. )
0
думаю стоит создавать phpinfo.php в корне но не с phpinfo(), а с html кодом phpinfo с денвера — пусть помучаются.
+1
Можно ещё от души порезвиться с содержанием html-кода phpinfo(). Я как то писал скрипт, который рандомом заполнял строки.
0
Можно еще на 22 порт повесить honeypot со сбором инфы о взломщике, вплоть до трейсрутов и ip логов действий, а потом слать куда надо. Ботов поймаете только так :). Будут думать, что в реальном шелле под рутом сидят :D
0
Кстати недавно поисследовал пару разных известных php-шеллов, на предмет используемых функций.
Хочу поделиться с хабрасообществом отключённых списком функций, которые я посчитал не нужными.
disable_functions = «phpinfo, apache_child_terminate, posix_getpwuid, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, mysql_pconnect, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, system, syslog, xmlrpc_entity_decode, shell_exec, getmyuid, getmygid, get_current_user, php_uname, diskfreespace, disk_total_space, posix_geteuid, posix_getegid»
Прописывается в php.ini
Так же включил safe_mode для пущей верности. Надеюсь кому-нибудь поможет =) По крайней мере dle и несколько других движков с таким набором функций работает.
Хочу поделиться с хабрасообществом отключённых списком функций, которые я посчитал не нужными.
disable_functions = «phpinfo, apache_child_terminate, posix_getpwuid, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, mysql_pconnect, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, system, syslog, xmlrpc_entity_decode, shell_exec, getmyuid, getmygid, get_current_user, php_uname, diskfreespace, disk_total_space, posix_geteuid, posix_getegid»
Прописывается в php.ini
Так же включил safe_mode для пущей верности. Надеюсь кому-нибудь поможет =) По крайней мере dle и несколько других движков с таким набором функций работает.
+1
Кстати phpinfo тоже отрубил =) Нафиг нужна)
-1
Интересно иногда узнать какие модули подключены.
0
Господа минусующие, вы хоть объясните свою позицию, в чём я не прав? За что минус?
Не надо выключать функции? Или phpinfo в продакше — нужная вещь? Или я слишком параноидален?
Не надо выключать функции? Или phpinfo в продакше — нужная вещь? Или я слишком параноидален?
+2
Хоть и не минусовал, но моё ИМХО — писать надо нормально, а не функции отключать.
Да и сама статья — полная лажа поскольку к безопасности отношения не имеет никакого. Ещё бы догадались чекать X-Powered-By/expose_php
Да и сама статья — полная лажа поскольку к безопасности отношения не имеет никакого. Ещё бы догадались чекать X-Powered-By/expose_php
0
Статья к безопасности косвенно относится — ведь посмотрев phpinfo, опытный взломщик может определить точки уязвимости, которые не очевидны. Неопытному это, конечно, не поможет.
Такое ощущение, что не все поняли смысл отключения функций. Ещё раз попробую объяснить — отключение, нужно для того, чтоб различные возможные php шелл-коды не смогли работать, в случае взлома, — это обезопасит от взлома, по крайней мере в какой-то степени.
«писать нормально» — это относится к языку php, поскольку функции встроены в php. Переписывать php слегка затруднительно. А к продуктам это не относится, поскольку все php-движки, которые по крайней мере у меня есть — вполне комфортно себя чувствуют без отключенных функций.
Поэтому имхо для обезопасивания — отключение функций наиболее простое и правильное решение, которое обезопасит от возможного внедрения шелл-кода, поскольку последний просто не сможет работать без этих функций и будет бесполезен.
Вообще честно говоря имхо эти функции должны быть отключены по умолчанию.
Такое ощущение, что не все поняли смысл отключения функций. Ещё раз попробую объяснить — отключение, нужно для того, чтоб различные возможные php шелл-коды не смогли работать, в случае взлома, — это обезопасит от взлома, по крайней мере в какой-то степени.
«писать нормально» — это относится к языку php, поскольку функции встроены в php. Переписывать php слегка затруднительно. А к продуктам это не относится, поскольку все php-движки, которые по крайней мере у меня есть — вполне комфортно себя чувствуют без отключенных функций.
Поэтому имхо для обезопасивания — отключение функций наиболее простое и правильное решение, которое обезопасит от возможного внедрения шелл-кода, поскольку последний просто не сможет работать без этих функций и будет бесполезен.
Вообще честно говоря имхо эти функции должны быть отключены по умолчанию.
-2
ведь посмотрев phpinfo, опытный взломщик может определить точки уязвимости, которые не очевидныОпытный взломщик (которому надо) определит точки уязвимости и без этой картинки. Максиму, это займёт у него немного больше времени.
«писать нормально» — это относится к языку php, поскольку функции встроены в php. Переписывать php слегка затруднительно.Если честно, то не понял о чём это написано.
Писать нормально — значит нормально писать свой код, чтоб до этих функций не мог добраться злоумышленник.
Вообще, информационная безопасность — понятие комплексное и одним отключением функций не решается.
0
это просто ребята хвастаются серваками!
+1
хм, я почему-то уже лет 8 называю файл pi.php )
0
НЛО прилетело и опубликовало эту надпись здесь
Помнится в phpinfo() несколько лет назад даже находили XSS уязвимость: www.securityfocus.com/bid/15248/exploit
0
Взлом сайта начинается с существования сайта. Все немедленно удалите свои сайты! Отключите питание серверов! Рубите сетевые кабели!
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
phpinfo.php: невероятно, но факт