взлом cotonti

Trustmaster	#31690 2011-11-28 10:13
Administrators Thanked: 265 kez	Разрешённые к закачке типы файлов в datas/extensions.php. Важно: все эти типы должны быть известны вебсерверу Apache (если используется оный), иначе можно получить довольно известную проблему, когда какой-нибудь myfile.php.xyz выполняется как php поскольку тип xyz неизвестен. Дай угадаю, доступ к datas/defaultav был 777? Движок никогда не заливает файлы в эту папку. Вообще картина складывается следующая: записывают файлы, к которым есть доступ на запись; заливают файлы туда, где есть доступ на добавление файлов в папку. В том числе и туда, куда файлы из веба попасть не могут. О чём это говорит? О том, что у злоумышленника есть доступ от другого аккаунта в системе (но не root, что уже хорошо) через SSH, FTP или через скрипты. May the Source be with you!

Trustmaster

#31690 2011-11-28 10:13

Разрешённые к закачке типы файлов в datas/extensions.php. Важно: все эти типы должны быть известны вебсерверу Apache (если используется оный), иначе можно получить довольно известную проблему, когда какой-нибудь myfile.php.xyz выполняется как php поскольку тип xyz неизвестен.

Дай угадаю, доступ к datas/defaultav был 777? Движок никогда не заливает файлы в эту папку.

Вообще картина складывается следующая: записывают файлы, к которым есть доступ на запись; заливают файлы туда, где есть доступ на добавление файлов в папку. В том числе и туда, куда файлы из веба попасть не могут. О чём это говорит? О том, что у злоумышленника есть доступ от другого аккаунта в системе (но не root, что уже хорошо) через SSH, FTP или через скрипты.

May the Source be with you!